gcc nur für bestimmten User

[millo]

Hallo,
einer meiner User braucht gcc zum compilen. Da ich generell keine Compiler auf Webservern mag, ich aber diesem Benutzer voll vertraue, würde ich gerne wissen ob es möglich ist NUR für diesen User den Compiler freizugeben.

Danke für Eure Antworten! :)

[oxygen]

Rechte richtig einstellen?

[millo]

Ich habe das binary auf den User und die Gruppe gechownt und dazu alle wichtigen chmod's ausprobiert (execute für owner + group), es funktioniert jedoch nicht. Wenn ich execute bei public mache kann es logischerweise jeder Benutzer ausführen.
Welchen chmod muss ich setzen oder bin ich auf dem falschen Weg?

[dodolin]

Code: Select all

chown <user>. gcc
chmod 700 gcc

[millo]

So hatte ich es auch probiert, aber bei jedem User - außer root - -> Permission denied. :(

[andreask2]

Das würde mich auch mal interessieren. Wie macht Ihr das? Nur root darf kompilieren? Aber dann muss man sich für DInge die man sonst auch ohne root könnte mit root arbeiten, was ja eigentlich soweit wie möglich vermieden werden sollte - liest man zumindest immer mal wieder. Auf der anderen Seite - wie oft kommt es auf einem produktiven Server vor, dass man kompilieren muss? Naja, bei Gentoo wohl etwas öfter, aber da das "installieren" von Software - ob über emerge oder sonst wie, benötigt normalerweise ja immer root-Rechte. Oder wie macht Ihr das auf produktiven Servern?

Und wie bei anderen Dingen wie wget, ftp, ssh...? Ich denke dass der Vorteil dass nicht-root User sowas nicht nutzen können überwiegtt, als dass wenn man sich wirklich mal irgendwas runterladen muss - dann allerdings als root - was ja normalerweise nicht oft vorkommt.

Grüße
Andreas

[millo]

Also ich habe im /usr/sbin Ordner mir ein kleines Bashscript gebaselt welches mir mit einmal "compile" als root gcc und wget für jeden freigibt, mit "uncompile" wirds wieder rückgängig gemacht, ist also nur eine Sekundensache.

[niemand]

(...) Auf der anderen Seite - wie oft kommt es auf einem produktiven Server vor, dass man kompilieren muss? (...)

Gerade bei Systemen, die "fortgeschritten" administriert werden, kommt das eigentlich häufiger vor. Sprich angepasste Builds vom Apachen, smtpd usw.

cu

[andreask2]

trotzdem - gerade bei produktiven Maschinen kann man nicht alle paar Tage den Webserver neu kompilieren, wenn es nicht irgendwelche neuen schlimmen Lücken gibt.

[floker]

Also ich habe im /usr/sbin Ordner mir ein kleines Bashscript gebaselt welches mir mit einmal "compile" als root gcc und wget für jeden freigibt, mit "uncompile" wirds wieder rückgängig gemacht, ist also nur eine Sekundensache.

was sollte man da denn alles mit reinnehmen?
ftp, wget, lynx (wenn vorhanden), gcc, g++

was ist da noch sinnig?

Danke,
Flo

[Joe User]

/bin/sh
/bin/bash

[floker]

/bin/sh
/bin/bash

ok.. war ja klar...

[Joe User]

ok.. war ja klar...

Zum besseren Verständnis ein kleines Beispiel:

Code: Select all

#!/bin/bash 

if [ $# = 0 ]; then 
  echo "Usage: http-get <URL>" >&2 
  exit 1 
fi 
URL=${1##http://} && 
SERVER=${URL%%/*} && 
FULLFILENAME=${URL#$SERVER} && 
FILENAME=${FULLFILENAME##*/} 
echo -n "Fetching $SERVER$FULLFILENAME... " 
(echo -e "GET $FULLFILENAME HTTP/0.9rnrn" 1>&3 & 
cat 0<&3) 3<> /dev/tcp/$SERVER/80 | ( 
  read i 
  while [ x"$(echo $i | tr -d 'r')" != "x" ] 
  do 
    read i 
  done 
  cat 
) >$FILENAME 
echo "done." 

[dodolin]

So hatte ich es auch probiert, aber bei jedem User - außer root - -> Permission denied.

Dann eventuell die Reihenfolge der Befehle vertauschen.