chmodとは？パーミッションの意味と設定方法をわかりやすく解説

chmodとは？パーミッションの意味と設定方法をわかりやすく解説

Unix系オペレーティングシステム（Linux、macOSなど）において、ファイルのアクセス権（パーミッション）を設定・変更するために使用されるコマンドが chmod です。chmod は “change mode” の略で、ファイルやディレクトリに対する読み込み、書き込み、実行の権限をユーザー、グループ、その他のユーザーに対して細かく設定できます。

パーミッションは、システムのセキュリティを維持し、データの保護に不可欠な要素です。適切なパーミッション設定を行うことで、意図しないアクセスや改ざんからファイルを保護し、システムの安定性を高めることができます。

この記事では、chmod コマンドの基本的な使い方から、パーミッションの概念、シンボリックモードと数値モードの違い、具体的な使用例、さらに応用的な使い方まで、chmod に関するあらゆる側面を網羅的に解説します。初心者の方でも理解しやすいように、図や表を交えながら丁寧に説明していきます。

目次

1. パーミッションとは？
   • 1.1 ファイルとディレクトリのパーミッション
   • 1.2 パーミッションの種類（読み込み、書き込み、実行）
   • 1.3 ユーザー、グループ、その他
2. chmodコマンドの基本
   • 2.1 chmodの構文
   • 2.2 シンボリックモードと数値モード
3. シンボリックモードでのパーミッション設定
   • 3.1 パーミッションの指定方法（u, g, o, a）
   • 3.2 操作記号（+, -, =）
   • 3.3 パーミッションの種類（r, w, x, X, s, t）
   • 3.4 具体的なシンボリックモードの使用例
4. 数値モードでのパーミッション設定
   • 4.1 パーミッションの数値表現（4, 2, 1）
   • 4.2 数値モードの計算方法
   • 4.3 具体的な数値モードの使用例
5. パーミッションの確認方法（ls -l コマンド）
   • 5.1 ls -l コマンドの出力結果の読み方
   • 5.2 ファイルの種類（-, d, l など）
   • 5.3 パーミッションの表示
   • 5.4 所有者とグループ
6. 特殊なパーミッション
   • 6.1 SetUID (SUID)
   • 6.2 SetGID (SGID)
   • 6.3 Sticky Bit
7. chmodコマンドの応用
   • 7.1 ディレクトリに対する再帰的なパーミッション変更 (-R オプション)
   • 7.2 デフォルトパーミッションの設定 (umask)
   • 7.3 アクセス制御リスト (ACL)
8. セキュリティに関する注意点
   • 8.1 不適切なパーミッション設定のリスク
   • 8.2 パーミッション設定のベストプラクティス
9. トラブルシューティング
   • 9.1 Permission denied エラー
   • 9.2 意図しないパーミッション変更
10. まとめ

---

1. パーミッションとは？

パーミッション（permission）とは、ファイルやディレクトリに対するアクセス権のことです。誰が、どのような操作（読み込み、書き込み、実行）を行えるかを定義します。パーミッションは、システムのセキュリティを維持し、重要なデータへの不正アクセスを防ぐために非常に重要です。

1.1 ファイルとディレクトリのパーミッション

ファイルとディレクトリでは、パーミッションの意味合いが若干異なります。

• ファイル: ファイルに対するパーミッションは、ファイルの読み込み、書き込み、実行を制御します。

  • 読み込み (Read): ファイルの内容を閲覧できる。
  • 書き込み (Write): ファイルの内容を編集・変更できる。
  • 実行 (Execute): ファイルを実行できる（スクリプトなど）。

• ディレクトリ: ディレクトリに対するパーミッションは、ディレクトリの内容のリスト表示、ファイルの作成・削除、ディレクトリへのアクセスを制御します。

  • 読み込み (Read): ディレクトリの内容をリスト表示できる（ls コマンドなど）。
  • 書き込み (Write): ディレクトリにファイルを作成・削除できる。
  • 実行 (Execute): ディレクトリにアクセスできる（cd コマンドなど）。 実行権限がないと、ディレクトリ内のファイルにアクセスできない。

1.2 パーミッションの種類（読み込み、書き込み、実行）

前述の通り、パーミッションには以下の3種類があります。

• 読み込み (Read): r で表されます。
• 書き込み (Write): w で表されます。
• 実行 (Execute): x で表されます。

これらのパーミッションは、誰に対して付与するかによってさらに細分化されます。

1.3 ユーザー、グループ、その他

パーミッションは、以下の3つのカテゴリに対して個別に設定できます。

• ユーザー (User): ファイルの所有者。
• グループ (Group): ファイルが所属するグループ。
• その他 (Others): 上記のユーザーとグループに属さないすべてのユーザー。

例えば、あるファイルに対して、所有者には読み書き実行の権限を与え、グループには読み込みと実行の権限を与え、その他には読み込み権限のみを与える、といった設定が可能です。

2. chmodコマンドの基本

chmod コマンドは、これらのパーミッションを設定・変更するために使用されます。

2.1 chmodの構文

chmod コマンドの基本的な構文は以下の通りです。

bash
chmod [オプション] モード ファイル名

• オプション: パーミッション変更の動作を制御するオプション（例：-R で再帰的に変更）。
• モード: 変更するパーミッションを指定する方法（シンボリックモードまたは数値モード）。
• ファイル名: パーミッションを変更するファイルまたはディレクトリの名前。

2.2 シンボリックモードと数値モード

chmod コマンドには、パーミッションを指定する方法として、シンボリックモードと数値モードの2種類があります。

• シンボリックモード: u, g, o, a などの記号と +, -, = などの演算子を使って、パーミッションを直感的に指定する方法です。人間にとって読みやすく理解しやすいのが特徴です。

• 数値モード: 各パーミッションを数値（4: 読み込み、2: 書き込み、1: 実行）で表現し、その合計値でパーミッションを指定する方法です。シェルスクリプトなどでの利用に適しています。

3. シンボリックモードでのパーミッション設定

シンボリックモードは、パーミッションを文字記号で表現し、変更内容を明確に記述できるため、初心者にとって理解しやすい方法です。

3.1 パーミッションの指定方法（u, g, o, a）

シンボリックモードでは、以下の記号を使って、どのカテゴリのパーミッションを変更するかを指定します。

• u: ファイルの所有者 (User)
• g: ファイルが所属するグループ (Group)
• o: その他のユーザー (Others)
• a: すべてのカテゴリ (All: ユーザー、グループ、その他)

3.2 操作記号（+, -, =）

パーミッションに対してどのような操作を行うかを指定するために、以下の記号を使用します。

• +: パーミッションを追加する
• -: パーミッションを削除する
• =: パーミッションを特定の状態に設定する（既存のパーミッションをすべてクリアして、指定されたパーミッションのみを設定する）

3.3 パーミッションの種類（r, w, x, X, s, t）

パーミッションの種類は以下の通りです。

• r: 読み込み (Read)
• w: 書き込み (Write)
• x: 実行 (Execute)
• X: ディレクトリの場合のみ実行権限を設定する（ファイルの場合は何もしない）。既に実行権限を持っているファイルにも実行権限を設定しない。
• s: SetUID または SetGID を設定する（特殊なパーミッション。後述）。
• t: Sticky Bit を設定する（特殊なパーミッション。後述）。

3.4 具体的なシンボリックモードの使用例

以下に、シンボリックモードの具体的な使用例をいくつか示します。

• ファイルの所有者に読み書き実行権限を追加する:

  bash
chmod u+rwx ファイル名

• グループから書き込み権限を削除する:

  bash
chmod g-w ファイル名

• その他のユーザーに読み込み権限のみを設定する:

  bash
chmod o=r ファイル名

• すべてのユーザーに読み込みと実行権限を追加する:

  bash
chmod a+rx ファイル名

• ディレクトリの所有者に読み書き実行権限を設定し、グループとその他のユーザーに読み込みと実行権限を設定する:

  bash
chmod u=rwx,g=rx,o=rx ディレクトリ名

• ディレクトリに実行権限が既に設定されているファイルに対してのみ、実行権限を設定する:

  bash
chmod a+X ディレクトリ名

4. 数値モードでのパーミッション設定

数値モードは、パーミッションを数値で表現し、その合計値を使ってパーミッションを指定する方法です。シェルスクリプトなどでの利用に適しています。

4.1 パーミッションの数値表現（4, 2, 1）

数値モードでは、各パーミッションを以下の数値で表現します。

• 読み込み (Read): 4
• 書き込み (Write): 2
• 実行 (Execute): 1

4.2 数値モードの計算方法

各カテゴリ（ユーザー、グループ、その他）に対して、必要なパーミッションに対応する数値を足し合わせます。

例えば、

• 所有者に読み書き実行権限を与える場合: 4 + 2 + 1 = 7
• グループに読み込みと実行権限を与える場合: 4 + 1 = 5
• その他のユーザーに読み込み権限のみを与える場合: 4 = 4

そして、これらの数値を順番に並べて3桁の数値として表現します。上記の例の場合、754 となります。

4.3 具体的な数値モードの使用例

以下に、数値モードの具体的な使用例をいくつか示します。

• ファイルの所有者に読み書き実行権限を与え、グループとその他に読み込み権限のみを与える:

  bash
chmod 744 ファイル名

• ファイルの所有者に読み書き権限を与え、グループに読み込み権限を与え、その他には何も権限を与えない:

  bash
chmod 640 ファイル名

• すべてのユーザーに読み書き実行権限を与える:

  bash
chmod 777 ファイル名 （一般的にはセキュリティリスクがあるので推奨されません）

• ディレクトリの所有者に読み書き実行権限を与え、グループとその他に読み込みと実行権限を与える:

  bash
chmod 755 ディレクトリ名

5. パーミッションの確認方法（ls -l コマンド）

ls -l コマンドを使うと、ファイルやディレクトリのパーミッションを確認できます。

5.1 ls -l コマンドの出力結果の読み方

ls -l コマンドを実行すると、以下のような出力結果が表示されます。

-rw-r--r-- 1 user group 1024 Jan 1 12:00 ファイル名
drwxr-xr-x 2 user group 4096 Jan 2 10:00 ディレクトリ名

この出力結果を読み解くことで、ファイルの種類、パーミッション、所有者、グループなどを確認できます。

5.2 ファイルの種類（-, d, l など）

出力結果の最初の文字は、ファイルの種類を表します。

• -: 通常のファイル
• d: ディレクトリ
• l: シンボリックリンク
• c: キャラクタデバイスファイル
• b: ブロックデバイスファイル
• p: 名前付きパイプ（FIFO）
• s: ソケット

5.3 パーミッションの表示

2文字目から10文字目までが、パーミッションを表します。最初の文字はファイルの種類なので、パーミッション自体は9文字で表現されます。この9文字は、3文字ずつ3つのグループに分かれており、それぞれユーザー、グループ、その他のユーザーに対するパーミッションを表します。

各グループの3文字は、それぞれ読み込み (r)、書き込み (w)、実行 (x) の権限の有無を表します。権限がある場合は対応する文字が表示され、権限がない場合は - が表示されます。

例えば、-rw-r--r-- の場合、

• 所有者 (user): rw- (読み書き可能、実行不可)
• グループ (group): r-- (読み込み可能、書き込み不可、実行不可)
• その他 (others): r-- (読み込み可能、書き込み不可、実行不可)

5.4 所有者とグループ

パーミッションの後に、ファイルの所有者とグループが表示されます。上記の例では、user が所有者、group がグループです。

6. 特殊なパーミッション

通常の読み書き実行のパーミッションに加えて、特殊なパーミッションとして、SetUID (SUID)、SetGID (SGID)、Sticky Bit があります。

6.1 SetUID (SUID)

SetUID (Set User ID upon execution) が設定されたファイルを実行すると、実行者はファイルの所有者の権限でプログラムを実行できます。

例えば、通常、ユーザーは自分のパスワードを変更するには passwd コマンドを使用しますが、passwd コマンドは root ユーザーが所有しており、SetUID が設定されています。これにより、一般ユーザーは root ユーザーの権限で passwd コマンドを実行し、自分のパスワードを変更できます。

SetUID は、chmod u+s ファイル名 または chmod 4XXX ファイル名 （XXXは通常のパーミッション）で設定します。ls -l コマンドの出力では、所有者の実行権限の位置に s と表示されます。もし、所有者の実行権限が元々設定されていなかった場合は S と表示されます。

セキュリティ上の注意点: SetUID が設定されたプログラムは、セキュリティリスクが高まる可能性があるため、慎重に扱う必要があります。

6.2 SetGID (SGID)

SetGID (Set Group ID upon execution) が設定されたファイルを実行すると、実行者はファイルのグループの権限でプログラムを実行できます。

ディレクトリに SetGID が設定されている場合、そのディレクトリに作成されたファイルやサブディレクトリは、親ディレクトリのグループを継承します。これは、グループ内でのファイル共有を容易にするために利用されます。

SetGID は、chmod g+s ファイル名 または chmod 2XXX ファイル名 （XXXは通常のパーミッション）で設定します。ls -l コマンドの出力では、グループの実行権限の位置に s と表示されます。もし、グループの実行権限が元々設定されていなかった場合は S と表示されます。

セキュリティ上の注意点: SetGID も、セキュリティリスクを高める可能性があるため、慎重に扱う必要があります。

6.3 Sticky Bit

Sticky Bit は、主に共有ディレクトリ（例：/tmp）で使用されます。Sticky Bit が設定されたディレクトリ内のファイルは、ファイルの所有者、ディレクトリの所有者、または root ユーザーのみが削除できます。

これにより、他のユーザーが誤って自分のファイルを削除してしまうのを防ぐことができます。

Sticky Bit は、chmod o+t ディレクトリ名 または chmod 1XXX ディレクトリ名 （XXXは通常のパーミッション）で設定します。ls -l コマンドの出力では、その他のユーザーの実行権限の位置に t と表示されます。もし、その他のユーザーの実行権限が元々設定されていなかった場合は T と表示されます。

7. chmodコマンドの応用

chmod コマンドには、より高度な使い方もあります。

7.1 ディレクトリに対する再帰的なパーミッション変更 (-R オプション)

-R オプションを使用すると、ディレクトリとその配下のすべてのファイルおよびサブディレクトリに対して、再帰的にパーミッションを変更できます。

bash
chmod -R 755 ディレクトリ名

上記の例では、指定されたディレクトリとその配下のすべてのファイルおよびサブディレクトリに対して、所有者には読み書き実行権限、グループとその他には読み込みと実行権限が設定されます。

注意点: -R オプションは強力なオプションであり、誤って使用するとシステム全体のパーミッションを破壊する可能性があります。使用する際には十分注意してください。

7.2 デフォルトパーミッションの設定 (umask)

umask コマンドは、新しく作成されるファイルやディレクトリのデフォルトパーミッションを設定するために使用されます。umask は、許可しないパーミッションを指定します。

例えば、umask 022 と設定すると、

• ファイルの場合: デフォルトのパーミッション 666 (rw-rw-rw-) から 022 (— -w- -w-) を引いた 644 (rw-r–r–) が適用されます。
• ディレクトリの場合: デフォルトのパーミッション 777 (rwxrwxrwx) から 022 (— -w- -w-) を引いた 755 (rwxr-xr-x) が適用されます。

umask コマンドは、通常、.bashrc や .profile などのシェル設定ファイルに記述され、ログイン時に自動的に実行されます。

7.3 アクセス制御リスト (ACL)

アクセス制御リスト (ACL) は、従来のパーミッションよりもさらに細かいアクセス制御を行うための仕組みです。ACL を使用すると、特定のユーザーやグループに対して、ファイルやディレクトリに対する個別のパーミッションを設定できます。

ACL を設定するには、setfacl コマンドを使用します。ACL を確認するには、getfacl コマンドを使用します。

ACL は、従来のパーミッションでは実現できない複雑なアクセス制御を行う必要がある場合に役立ちます。

8. セキュリティに関する注意点

chmod コマンドは、システムのセキュリティに深く関わる重要なコマンドです。不適切なパーミッション設定は、システムを脆弱にし、セキュリティリスクを高める可能性があります。

8.1 不適切なパーミッション設定のリスク

• 777 パーミッション: すべてのユーザーに読み書き実行権限を与える 777 パーミッションは、一般的にはセキュリティリスクが高いとされています。特に、重要なファイルやディレクトリに対して 777 パーミッションを設定することは避けるべきです。

• 不要な書き込み権限: ファイルに対する不要な書き込み権限は、悪意のあるユーザーによる改ざんのリスクを高めます。必要なユーザーにのみ書き込み権限を与え、それ以外のユーザーには読み込み専用の権限を与えるようにしましょう。

• SetUID プログラムの悪用: SetUID が設定されたプログラムは、セキュリティホールとなりやすく、悪意のあるユーザーに root 権限を奪取される可能性があります。SetUID プログラムは、必要最小限に留め、慎重に管理する必要があります。

8.2 パーミッション設定のベストプラクティス

• 最小権限の原則: 必要なユーザーにのみ、必要な権限を与えるようにしましょう。不要な権限は削除することで、セキュリティリスクを最小限に抑えることができます。

• デフォルトパーミッションの見直し: umask コマンドを使用して、新しく作成されるファイルやディレクトリのデフォルトパーミッションを適切に設定しましょう。

• 定期的なパーミッションの見直し: システム全体のパーミッションを定期的に見直し、不適切な設定がないか確認しましょう。

• セキュリティに関する知識の習得: セキュリティに関する知識を習得し、chmod コマンドを安全に使いこなせるようにしましょう。

9. トラブルシューティング

chmod コマンドを使用する際に発生する可能性のあるトラブルとその解決策について説明します。

9.1 Permission denied エラー

Permission denied エラーは、ファイルやディレクトリに対する操作に必要な権限がない場合に発生します。

• 原因:

  • 現在のユーザーが、操作対象のファイルやディレクトリの所有者ではなく、かつ、グループやその他のユーザーに対する権限が付与されていない。
  • ディレクトリに対する実行権限がないために、ディレクトリ内のファイルにアクセスできない。
  • SetUID プログラムを実行しようとしたが、必要な権限がない。

• 解決策:

  • sudo コマンドを使用して、root ユーザーの権限で操作を実行する。ただし、sudo の使用は慎重に行う必要があります。
  • ファイルの所有者に権限を変更してもらう。
  • chmod コマンドを使用して、必要な権限を自分自身に付与する。
  • ディレクトリに対する実行権限を自分自身に付与する。

9.2 意図しないパーミッション変更

chmod コマンドを誤って使用すると、意図しないパーミッション変更が発生する可能性があります。

• 原因:

  • chmod コマンドのオプションやモードの指定を間違えた。
  • -R オプションを誤って使用し、広範囲のファイルやディレクトリのパーミッションを変更してしまった。

• 解決策:

  • 変更前のパーミッションを記録しておき、元の状態に戻す。
  • バックアップからファイルを復元する。
  • システムのログを確認し、変更履歴を調査する。

10. まとめ

chmod コマンドは、Unix系オペレーティングシステムにおいて、ファイルやディレクトリのアクセス権（パーミッション）を設定・変更するために不可欠なツールです。パーミッションを適切に設定することで、システムのセキュリティを維持し、データの保護に貢献することができます。

この記事では、chmod コマンドの基本的な使い方から、パーミッションの概念、シンボリックモードと数値モードの違い、具体的な使用例、さらに応用的な使い方まで、chmod に関するあらゆる側面を網羅的に解説しました。

chmod コマンドは、一見すると複雑に見えるかもしれませんが、基本的な概念を理解し、丁寧に操作することで、誰でも安全かつ効果的に使いこなすことができます。

この記事が、chmod コマンドの理解を深め、より安全なシステム運用に役立つことを願っています。