【ホームページのセキュリティ対策】パーミッションは大事なファイルを守る権利のこと

スポンサーリンク
電話機:パーミッションについて神社サイト運営

ファイルの属性?パーミッションって何?

今回はそんな悩みに添いたいと思います。

今回はパーミッションについて説明します。説明は難しく感じるかもしれませんので、なるべく画像を多めに説明をしました。思い込みを取っ払えば、意外と分かりやすいと思いますよ。

パーミッションについて

パーミッションとは

パーミッションはファイルやディレクトリへのアクセス権利(許可)です。

複数の人が使うパソコン、複数の人が使うサーバーの場合はパーミッションの設定が必要となります。そうでないと、誰でもがそのパソコンかファイルへアクセスが可能になります。

アクセス権は、「見る」「書く」「実行」の3種類あります。ファイルを「見る」くらいいいじゃないの?と思うかもしれません。IDやパスワードが書かれたファイルもあるため、正しく設定しないと「見る」だけでも危険なんですよ。

パーミッションはどんなファイルに設定が必要か

「見る」「書く」「実行」のどれをされても困るファイルやフォルダにはパーミッションの設定が必要になります。

例えば、

  • CGIは
  • .htaccess
  • wp-config.php
  • 他人に見られては困るファイル

推奨パーミッションはご契約のレンタルサーバーのマニュアルでご確認くださいね。

ロリポップ!のパーミッション

さくらインターネットのCGIについてのパーミッションは「755」か「705」です。

パーミッションは何で設定するのか

パーミッションの設定は各種レンタルサーバが提供するFTPソフトになります。

例えばコアサーバーの場合はnet2ftpファイルマネージャー、さくらインターネットはファイルマネージャーになります。

設定方法は後ほど説明しますね!

パーミッションの対象者と権利

上の画像はコアサーバーのファイルサーバの画面です。この画像の属性がパーミッションになります。ここを見ると、rwx-の文字が見えます。

属性はディレクトリ(ファイル)の3種類の対象者に「rwx-」を使って3種類の権利を表しています

対象者は・・・

Owner所有者ファイルやディレクトリの所有者、HPの管理者、本人
Groupグループファイルやディレクトリが入っているサーバの人、共有サーバ全体、
Otherその他の人まったくの他人

注意があります!Groupは同じサーバを使っている人になりますので、ハッキリ言って他人です。Owner以外他人になりますので注意くださいね。

権利は文字や数字で表されます。

見る(読み取り)read4
書くwrite2
実行execute1
権利なし0

ファイルとディレクトリの権限の違い

「見る」「書く」「実行」だけだと、わかったような分からないような感じですよね。その違いをまとめます。

ファイルディレクトリ
見るファイルの内容を読み取る、表示するディレクトリの中のファイルリストを表示する
書くファイルの書き込み、上書き、削除ディレクトリ内に新規ファイルが作成できる
実行プログラムの実行カレントディレクトリにできる

「カレントディレクトリにできる」とは絶対パス、相対パスを変えられます。URLを書き換えられるっていうイメージです。

たとえば、ディレクトリで「書く」「実行」が出来る場合は、インデックスファイルを作って、それをホームページのトップ画面にすることができます。そうすると、同じURLなのになぜか違うところに飛ばされるって恐いことが起こります。(そんな感じです、違ってたらごめんなさい。)

詳しくは外部リンクになりますが、「Wordpressセキュリティ対策 パーミッションを変更する」を読むと理解が深まると思いますよ。

パーミッションの表記の仕方

文字の場合は並べて書き、数字の場合は数字の合計で表します。

文字の場合

コアサーバーのファイルマネージャー

上の画像のMaildirディレクトリ(フォルダ)の属性は「rwxrwx—」です。また、_db_dumpディレクトリの属性はrwxr-xr-x」、logディレクトリは「rwx—r-x」です。

見方は、

  • アクセス権は、対象者と権利の組み合わせで表します。
  • 文字3つごとが対象者の権利を表します
  • 対象者は「所有者」「グループ」「他人」を表します

Maildirディレクトリは「rwxrwx—」なので、所有者とグループは「見る」「書く」「実行」ができるけど、他人は何も出来ない。

_db_dumpディレクトリは「rwxr-xr-x」なので、所有者は「見る」「書く」「実行」が出来るけが、グループと他人は「見る」「実行」はできる。

logディレクトリは「rwx—r-x」なので、所有者は「見る」「書く」「実行」が出来るけど、グループは何も出来ないが、他人は「見る」「実行」が出来る。

数字の場合

数字は3つの文字の合計を並べて3桁の数で表します。

  • 「r」は「4」、「w」は「2」、「x」は「1」、「-」は「0」
  • 「rwx」だったら「4+2+1」と合計して「7」になる
  • 所有者、グループ、他人の数字を3つ並べる
  • 「rwxrwx—」だったら「770」になる

Maildirディレクトリは「rwxrwx—」なので「770」。_db_dumpディレクトリは「rwxr-xr-x」なので「715」。logディレクトリは「rwx—r-x」なので「705」。

「777」は誰でも「見る・書く・実行」が出来るので設定しないようにしましょうね!

ほぼ自分でファイルの属性を決めなくても、大丈夫ですよ。いじった場合はファイルが開けない、実行できない場合があるので、どこかに変更したメモを残しておくといいですよ。

ファイルの改ざんなどのサイバー攻撃を見守る「サイトロック」があります。月額350円から利用できますので、予算の合う人は利用するとより安全です。

神社サイト運営
スポンサーリンク
いつもありがとうございます!
楽カミほむぺ★
タイトルとURLをコピーしました