Chmod 4750の解説
chmod 4750はSUID付きで所有者フルアクセス、グループ読み取り+実行、その他アクセス不可。実行できるユーザーを制限したセキュアなSUID設定です。
Permission
4750
rwsr-x---
chmod 4750 filename
パーミッション解析
| Role | Read (4) | Write (2) | Execute (1) | Octal | 意味 |
|---|---|---|---|---|---|
| Owner | r | w | x | 7 | read, write, execute |
| Group | r | - | x | 5 | read, execute |
| Others | - | - | - | 0 | no permissions |
Special bits (4): SUID (Set User ID on execution).
パーミッションの可視化
Read
Write
Execute
Owner
r
w
e
Group
r
-
e
Others
-
-
-
詳細な説明
パーミッション 4750 は、SUIDビットを設定しつつ、実行を所有者とグループのみに制限し、その他のユーザーのアクセスをブロックします。
8進数の内訳:
- 4(特殊): SUIDビット設定
- 7(所有者): read (4) + write (2) + execute (1) = フルアクセス
- 5(グループ): read (4) + execute (1) = 読み取りと実行
- 0(その他): アクセス不可
シンボリック表記では rwsr-x--- となります。所有者の execute 位置の s がSUIDの有効を示しています。
4755 よりもセキュアな代替手段です。SUIDプログラムを実行できるユーザーを制限するためです。所有者とグループメンバーのみが実行でき、攻撃面が縮小されます。攻撃者が指定されたグループ外のユーザーとしてアクセスを得た場合、SUIDプログラムを悪用できません。
エンタープライズ環境でのカスタムSUIDアプリケーションの推奨アプローチです。承認されたユーザー用の特定のグループを作成し、実行ファイルを 4750 に設定し、必要なユーザーのみをグループに追加します。
ユースケース
特定のチームメンバー(グループ内)のみが昇格した権限でプログラムを実行すべきカスタムSUIDアプリケーションに使用されます。