UNIXコマンド

【umask】ファイル作成時のパーミッションマスクを設定するコマンド

umaskは、UnixやLinux環境で新規に作成するファイルやディレクトリのアクセス権限設定を調整するコマンドです。

通常のパーミッション設定から不要な権限を差し引くことで、セキュリティの向上に役立ちます。

数値でマスク値を指定し、システム全体のアクセス制御を柔軟に管理することができます。

目次から探す

umaskの基本
- umaskの役割
- ファイルとディレクトリのデフォルトパーミッション
umaskの動作原理
- 数値表記による計算方法
- シンボリック表記との違い
umaskの設定方法
- 一時的な設定方法
- 永続的な設定方法
セキュリティへの影響
- umask設定とアクセス制御の関係
- 注意すべきポイント
応用例と実務上の活用
- システム運用時の設定パターン
- 他の設定との連携方法
まとめ

umaskの基本

umaskの役割

umaskは、新たに作成されるファイルやディレクトリに対して、あらかじめ許可しないパーミッション(アクセス権)を指定する仕組みです。

ユーザがファイル作成時に許可される最大のアクセス権から、umaskで設定された値が引かれる形で最終的なパーミッションが決定されます。

ファイルの作成時に不要なアクセス権が付与されるのを防ぐ
システム全体のセキュリティを一定の水準に保つために利用される

ファイルとディレクトリのデフォルトパーミッション

ファイルとディレクトリにはそれぞれ異なる初期パーミッションが設定されることが一般的です。

ファイルの場合：通常は実行権限を含まない基本パーミッション(例：666)に対してumaskが適用されます。
ディレクトリの場合：実行権限が必要なため、基本パーミッション(例：777)からumaskが引かれます。

これにより、ユーザが意図しないアクセス権の許可を防ぎ、セキュリティと利便性のバランスを保つ設定となっています。

umaskの動作原理

数値表記による計算方法

umaskは通常、3桁または4桁の8進数で設定され、各桁がそれぞれのカテゴリに対する禁止するパーミッションを示します。

数値表記の場合、各桁の数字は読み取り、書き込み、実行のパーミッションに対応しており、該当する権限をマスクします。
新しいファイルやディレクトリが作成されると、OSは基本パーミッションからumask値を差し引き、最終的なパーミッションが決定されます。

各桁(ユーザ、グループ、その他)の意味

umaskの各桁は以下のような意味を持ちます。

最初の桁(または右から3番目)：所有者(ユーザ)のパーミッション
次の桁：グループのパーミッション
最後の桁：その他のユーザのパーミッション

例えば、umask 022は、

ユーザに対しては制限をかけない(0)
グループとその他に対しては書き込み権限(2)を取り除く

という意味となり、これによりファイルやディレクトリのアクセス制御が適切に行われます。

シンボリック表記との違い

umaskは数値表記以外にも、シンボリック表記で理解する方法も存在します。

数値表記は計算や設定が直感的に行えるため、システム管理者に好まれます。
シンボリック表記は禁止する権限をアルファベットで表現するため、設定内容を可視化しやすいという利点があります。

ただし、実際の設定や計算には数値表記が主に用いられるため、誤解が生じにくくなっています。

umaskの設定方法

一時的な設定方法

umaskはシェル上で直接設定することが可能で、その効果はシェルのセッション内でのみ有効です。

一時的な変更は作業中やテスト環境で利用されることが多いです。
シェルを閉じると、設定は元に戻ります。

シェルでの具体例

ターミナル上でumaskコマンドを利用して設定する場合は、以下のような手順となります。

$ umask 027

上記の例では、グループに対して書き込み禁止、その他に対して読み取り・実行権限の一部が取り除かれる設定が適用されます。

設定内容を確認するには、再度umaskコマンドを実行して現在の設定値を表示できます。

永続的な設定方法

umaskの設定を永続化するには、ユーザのシェル初期化ファイルやシステム全体の設定ファイルに記述する必要があります。

永続的な設定は、毎回手動でumaskを設定する手間を省くために利用します。
システム再起動後も、望むパーミッション設定が維持されるよう工夫されます。

プロファイルファイルの編集例

例えば、Bashシェルを利用している場合は、~/.bashrcや~/.profileに以下の記述を追加します。

# 新規ファイル・ディレクトリのデフォルトパーミッションを設定

umask 027

このように記述することで、シェル起動時に自動的にumaskが設定され、望ましいパーミッションが維持されます。

セキュリティへの影響

umask設定とアクセス制御の関係

umaskはシステムのセキュリティに大きく貢献する要素であり、アクセス制御の基本として機能します。

適切なumask設定により、意図しない権限の付与を防ぎ、情報漏洩のリスクを低減します。
各ユーザやグループに対するアクセス権を調整することで、不必要なアクセスを防ぐことが可能となります。

注意すべきポイント

umask設定にあたっては、いくつかの注意点が存在します。

すべてのユーザに対して過度なアクセス制限をかけると、業務効率に影響が出る恐れがある。
逆に制限が甘すぎると、セキュリティリスクが高まる。
システムによっては、初期パーミッションの設定が異なる場合があるため、基本パーミッションとの組み合わせに注意する必要がある。
テスト環境と本番環境で設定を分けて管理することも検討すべきである。

応用例と実務上の活用

システム運用時の設定パターン

システム運用においては、用途や利用者に応じたumaskの設定が求められます。

サーバにおいては、セキュリティを重視しつつも業務の効率を確保するため、umask 027やumask 077など、用途に応じたパターンが利用されます。
各ユーザの業務内容に合わせたカスタマイズが可能となるため、ポリシーや運用手順に合わせた設定が適用されることが多いです。
システム毎に設定が異なる場合、管理者は一元管理できる仕組みを導入することで、運用上の混乱を避けられます。

他の設定との連携方法

umaskはファイルやディレクトリのパーミッション設定の一部であり、他のセキュリティ設定と連携することで、より堅牢なシステム管理が実現されます。

アクセス制御リスト(ACL)やSELinuxなど、追加のセキュリティ機能と組み合わせることで、細かいアクセス管理が可能となります。
システム監査ツールと連携し、設定変更やアクセス権の状態を定期的にチェックすることも推奨されます。
各種設定の相互検証を行うことで、設定ミスや予期しない権限の緩和を未然に防ぐ仕組みづくりが実現できます。

まとめ

本記事では、umaskの基本的な役割やファイルとディレクトリのデフォルトパーミッションの仕組み、数値表記による計算方法と各桁の意味について解説しました。

また、一時的な設定方法や永続的な設定方法の具体例、セキュリティへの影響、システム運用時の活用例などを紹介し、適切なパーミッション管理の重要性を説明しました。