- Diagnóstico preciso de errores de acceso mediante la verificación de capas POSIX, ACL y módulos de seguridad como SELinux.
- Uso correcto de herramientas de gestión de permisos como chmod, chown y la utilidad visudo para evitar vulnerabilidades.
- Métodos de recuperación del sistema mediante Live CD o scripts de inicio cuando se pierde el acceso de superusuario.
Seguro que te ha pasado: intentas ejecutar un comando, abrir un archivo o meterte en una carpeta y la terminal te suelta el famoso mensaje de «Permiso denegado». Es un momento frustrante, sobre todo cuando crees que tienes todo el control del sistema, pero Linux es muy cuadrado con la seguridad y no te dejará pasar si no cumples estrictamente sus reglas.
La tentación de soltar un chmod 777 para salir del paso es enorme, pero sinceramente es la peor idea posible. Hacer eso es como dejar la puerta de tu casa abierta de par en par en medio de la ciudad; soluciona el problema del acceso, pero dejas el sistema totalmente expuesto a cualquier vulnerability. Lo ideal es entender qué está fallando y aplicar la corrección justa.
Entendiendo el sistema de permisos en Linux
Para no ir a ciegas, hay que saber que Linux gestiona el acceso en tres niveles distintos. Primero tenemos los permisos POSIX clásicos, que son los que vemos con el típico trío de lectura (r), escritura (w) y ejecución (x) para el dueño, el grupo y el resto del mundo. Luego están las ACL extendidas, que permiten poner reglas mucho más finas para usuarios concretos, y finalmente los módulos de seguridad obligatorios como SELinux en RHEL o AppArmor en Ubuntu y Debian.
Cuando hablamos de directorios, hay un detalle que suele pillar a muchos: el bit de ejecución. En una carpeta, el permiso de ejecución no significa que vayas a lanzar un programa, sino que te permite recorrer el directorio. Si no tienes ese bit activo, aunque tengas permiso de lectura sobre un archivo interno, no podrás llegar a él porque la ruta está bloqueada.
La gestión de permisos se puede hacer de dos formas. La simbólica es muy cómoda para cambios rápidos, como añadir ejecución con chmod u+x. Por otro lado, la forma octal es la más precisa para configurar todo de una vez. Por ejemplo, un 644 es el estándar para archivos de texto, mientras que un 755 es lo habitual para directorios y scripts públicos donde todos pueden navegar pero solo el dueño escribe.
Casos comunes de bloqueo y cómo atacarlos
Uno de los errores más típicos ocurre con las claves SSH. Si los permisos de tu clave privada son demasiado permisivos, el servidor te rechazará la conexión por el parámetro StrictModes. La solución aquí es restringir el acceso al máximo, normalmente usando chmod 600 para que solo el propietario pueda leer la clave.
Otro escenario habitual es cuando intentas escribir en rutas del sistema como /etc o /var/www. Si es algo puntual, usar sudo es lo correcto. Pero si es una aplicación la que debe escribir constantemente, lo más limpio es cambiar la propiedad de la carpeta con chown para que el usuario del servicio sea el dueño legal, evitando así el uso incorrecto del usuario root en Linux.
A veces, incluso siendo root, te dirán que no tienes permiso. Esto suele pasar si el sistema de archivos se ha montado en modo de solo lectura (ro) o si el archivo tiene el atributo de inmutable. Para esto último, puedes usar el comando lsattr para diagnosticarlo y sudo chattr -i para quitarle esa protección especial.
El dolor de cabeza de los errores en sudo
Sudo es una herramienta maravillosa hasta que dejas de poder usarla. El archivo /etc/sudoers es extremadamente delicado. Un simple error de sintaxis, como una coma mal puesta o un espacio donde no toca, puede hacer que sudo deje de funcionar por completo, dejándote fuera de tu propia administración.
Para evitar esto, nunca debes editar este archivo con un editor de texto normal. La herramienta visudo es la clave, ya que valida la sintaxis antes de guardar los cambios. Si intentas forzar la edición y rompes el archivo, te encontrarás en un callejón sin salida: necesitas sudo para arreglar el archivo, pero no puedes usar sudo porque el archivo está roto.
Además de la sintaxis, existen los errores de propiedad. Sudo se niega a trabajar si el archivo /etc/sudoers tiene permisos demasiado abiertos (como ser escribible por cualquiera) o si el dueño no es root. En esos casos, el sistema lanzará un aviso indicando que el archivo es world writable o que el UID es incorrecto.
Cómo recuperar el acceso cuando todo falla
Si te has pasado de listo y has machacado el archivo de sudoers, no todo está perdido. Una de las formas más efectivas es arrancar el sistema con un Live CD de Ubuntu. Desde ahí, montas tu disco duro, navegas hasta el directorio /etc de tu instalación real y corriges los permisos manualmente con chmod 440 y chown root:root.
En entornos de nube como Google Cloud, existe una alternativa mediante scripts de inicio. Puedes configurar un metadato que ejecute un comando al arrancar la máquina virtual. Este comando puede renombrar el archivo sudoers dañado y crear uno nuevo básico que te permita entrar sin contraseña temporalmente para que puedas reparar el desastre con visudo.
Si el problema es que tienes archivos .lock bloqueando la edición de usuarios o grupos en /etc/passwd, es posible que necesites limpiar esos archivos temporales desde un entorno de recuperación para que el sistema te permita volver a realizar cambios administrativos.
Para solucionar cualquier problema de acceso, lo más inteligente es seguir un orden lógico: empezar usando ls -l e id para ver quién es quién, ajustar los bits con chmod, corregir la propiedad con chown y, si nada de esto sirve, revisar capas profundas como SELinux o AppArmor que podrían estar bloqueando la acción en segundo plano, aprovechando que ya conoces los secretos de Linux y sus comandos.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.