Když Linux řekne „Přístup odepřen“

Když se objeví „Přístup odepřen“

Zadáte příkaz, očekáváte hladký průběh, a místo toho dostanete:

bash: ./deploy.sh: Permission denied.

Je to ta frustrující chyba, která zastaví nasazení, zhatí sestavení nebo zablokuje aktualizaci serveru – a často vás donutí strávit hodiny lovem jediného příznaku oprávnění. Téměř každý uživatel Linuxu se s ní setkal, a přestože je běžná, pořád vyvolává paniku a prostoje.

O co jde – neznamená to, že je něco rozbité. Znamená to jen, že se snažíte udělat něco, na co nemáte práva. Linux prostě vynucuje své bezpečnostní hranice.

V tomto článku prozkoumáme, proč se tato chyba objevuje, co opravdu znamená a jak ji krok za krokem opravit – aniž byste ohrozili bezpečnost systému nebo vytvořili nové zranitelnosti.

Proč se objevuje „Přístup odepřen“ (a proč se to děje pořád dokola)

Chyba „Přístup odepřen“ v Linuxu se objeví, když uživatel nemá správná práva k čtení, zápisu nebo spuštění souboru.

Zní to jednoduše, ale v reálných prostředích – jako jsou kontejnery, prostředí s více uživateli nebo CI/CD pipeline – se oprávnění rychle zamotají.

• Skript naklonovaný z Git, ale ztratil příznak spustitelnosti;
• Webová aplikace se snaží zapisovat logy do adresáře vlastněného rootem;
• SELinux tiše blokuje přístup;
• Nebo někdo kdysi „opravil“ všechno pomocí chmod 777 a teď vládne chaos.

Takže ne, nejde jen o „zapomněli jste přidat +x“. Jde o to, jak Linux vynucuje hranice, aby udržel systém v bezpečí.

Model oprávnění v Linuxu v kostce

Každý soubor a složka v Linuxu má tři typy přístupu – čtení (r), zápis (w) a spuštění (x) – aplikované na tři entity:

Příklad:

-rwxr-xr-- 1 dev dev 1234 Oct 10 12:00 app.sh

Zde vlastník (dev) může číst, psát a spouštět; skupina může číst a spouštět; ostatní mohou jen číst.

• r = 4
• w = 2
• x = 1

Takže chmod 755 file.sh = 7 (rwx) pro vlastníka, 5 (r-x) pro skupinu, 5 (r-x) pro ostatní.

Reálné scénáře, kde se to pokazí

1. Spuštění skriptu bez práv k spuštění

Naklonovali jste repo a zkusili:

./build.sh

Ale shell vyhodí „Přístup odepřen.“ Proč? Protože Git ve výchozím nastavení neuchovává bity spustitelnosti. Opravte to takto:

chmod +x build.sh
git update-index --chmod=+x build.sh

2. Selhání přístupu k SSH klíči

chmod 600 ~/.ssh/id_rsa
chown $USER:$USER ~/.ssh/id_rsa

3. Webová aplikace nemůže zapisovat do adresářů

sudo chown -R www-data:www-data storage
sudo chmod -R 750 storage

4. „Přístup odepřen“ uvnitř Docker kontejneru

Montáž adresáře hosta do kontejneru často vede k neshodě UID.

docker run --user $(id -u):$(id -g) ...
sudo chown -R 1000:1000 /data

5. Úpravy systémových konfigurací

sudo nano /etc/nginx/nginx.conf

Pro hlubší pochopení výběru mezi NGINX a Apache si přečtěte náš článek Optimalizace webových stránek: volba mezi NGINX a Apache

Krok za krokem: kontrolní seznam pro opravu „Přístup odepřen“

1. Zkontrolujte oprávnění souboru:

   ls -l filename

2. Pokud chybí právo k spuštění skriptu:

   chmod +x script.sh

3. Pokud nemůžete zapisovat do adresáře:

   sudo chown youruser:youruser /path/to/dir

4. Potřebujete zvýšená práva?

   sudo command

5. Stále blokováno? Možná je na vině SELinux:

   getenforce
   sudo ausearch -m avc

A co čísla v chmod?

• chmod 744 file → plná práva pro vlastníka, jen čtení pro ostatní
• chmod 755 file → plná pro vlastníka, čtení a spuštění pro ostatní
• chmod 777 file → všichni mohou všechno (nedoporučuje se!)

Pravidlo palce:

• 755 pro skripty
• 644 pro konfigurace
• Nikdy 777 v produkci

Pokročilé koncepty oprávnění (které často mátou začátečníky)

• setuid (4xxx) – umožňuje programu běžet jako vlastník (často root).
• setgid (2xxx) – zajišťuje, že soubory v adresáři dědí skupinu tohoto adresáře.
• sticky bit (1xxx) – brání uživatelům mazat soubory jiných v sdílených složkách (jako /tmp).

Když to ve skutečnosti není problém s oprávněními

• Souborový systém namontovaný jen pro čtení po pádu: mount | grep your_folder
• Umask v CI/CD vytváří příliš restriktivní soubory.
• Síťový disk (NFS/SMB) ignoruje lokální chmod.
• SELinux aplikuje omezení na úrovni politiky.

Tipy pro prevenci

• Udržujte vlastnictví souborů konzistentní napříč servery.
• Vyhněte se spouštění sestavení jako root.
• Nastavte výchozí umask 022.
• Pravidelně kontrolujte oprávnění pomocí automatizovaných skriptů.
• Monitorujte změny oprávnění pomocí auditd:

auditctl -w /etc/ -p w -k perms
ausearch -k perms

„Přístup odepřen“ není chyba – je to Linux, který dělá svou práci, aby zabránil nebezpečným nebo neoprávněným akcím. Jakmile pochopíte vlastnictví a práva, chyba se stane předvídatelnou a snadno opravitelnou.

V produkci se malé chyby v oprávněních mohou rozrůst do nákladných prostojů. Abyste se vyhnuli manuálním bolestem hlavy, zvažte naše managedVPS služby, které automaticky řídí oprávnění, bezpečnost a údržbu, což vám umožní soustředit se na váš kód.