Drift/pvv-nixos-config
17
5
Fork 1
Code Issues Pull Requests 7 Actions Wiki Activity

WIP: Set up homearea automounts #19

Draft
oysteikt wants to merge 1 commits from setup-home-areas into main
pull from: setup-home-areas
merge into: Drift:main
Conversation 3 Commits 1 Files Changed 6 +32
oysteikt commented 2023-12-03 04:20:55 +01:00
Owner
Copy Link

wanna go home for christmas

![wanna go home for christmas](/attachments/be4bd8e0-1a6b-47fb-99f3-a58d582ad3dd)
image.png
196 KiB
🚀 2
oysteikt added 1 commit 2023-12-03 04:20:56 +01:00
set up homearea automounts
All checks were successful
Eval nix flake / evals (pull_request) Successful in 9m40s
Details
Eval nix flake / evals (push) Successful in 36m48s
Details
ddc4d8cea0
oysteikt requested review from danio 2023-12-03 04:21:05 +01:00
oysteikt requested review from felixalb 2023-12-03 04:21:05 +01:00
danio reviewed 2023-12-03 07:15:04 +01:00
danio left a comment
Owner
Copy Link

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder
modules/home-areas.nix
@@ -0,0 +1,27 @@
{ pkgs, lib, ... }:
{
fileSystems = let
danio commented 2023-12-03 07:14:42 +01:00
Owner
Copy Link

Hvordan tenker du å synkronisere uid/gider på disse filene?

Hvordan tenker du å synkronisere uid/gider på disse filene?
oysteikt commented 2023-12-03 11:30:34 +01:00
Author
Owner
Copy Link

Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging

Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging
modules/home-areas.nix
@@ -0,0 +3,4 @@
fileSystems = let
shorthandAreas = {
# See toriel:/etc/exports
"/home/pvv/t/pederbs" = "homepvvt.pvv.ntnu.no:/export/home/pvv/t/pederbs";
danio commented 2023-12-03 07:11:20 +01:00
Owner
Copy Link

Jeg tror peder har flyttet seg vekk fra toriel?

Jeg tror peder har flyttet seg vekk fra toriel?
oysteikt commented 2023-12-03 11:31:56 +01:00
Author
Owner
Copy Link

Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?

Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?
felixalb commented 2024-01-06 22:11:26 +01:00
Owner
Copy Link

microbel$ cat /etc/passwd | grep "home/pvv/t" gir ingen resultater, tror det er greit å fjerne

`microbel$ cat /etc/passwd | grep "home/pvv/t"` gir ingen resultater, tror det er greit å fjerne
felixalb reviewed 2024-01-06 22:13:13 +01:00
hosts/bekkalokk/configuration.nix
@@ -5,6 +5,7 @@
../../base.nix
../../misc/metrics-exporters.nix
../../modules/home-areas.nix
felixalb commented 2024-01-06 22:13:13 +01:00
Owner
Copy Link

Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.

Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.
felixalb commented 2024-02-18 22:43:17 +01:00
Owner
Copy Link

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

Bare hvis tjenestene kan su-e til hver bruker, eller brukeren har endret til mer åpne permissions.
Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun danio kan lese ~danio.

Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med mount over NFS uansett, også hvis det ikke er satt opp på boksen.

Det gjør det mer convenient, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.

> I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. > > Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder Bare hvis tjenestene kan `su`-e til hver bruker, eller brukeren har endret til mer åpne permissions. Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun `danio` kan lese `~danio`. Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med `mount` over NFS uansett, også hvis det ikke er satt opp på boksen. Det gjør det mer _convenient_, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.
👍 1
oysteikt changed title from Set up homearea automounts to WIP: Set up homearea automounts 2024-08-26 19:19:04 +02:00
All checks were successful
Eval nix flake / evals (pull_request) Successful in 9m40s
Details
Eval nix flake / evals (push) Successful in 36m48s
Details
This pull request has changes conflicting with the target branch.
  • hosts/bekkalokk/configuration.nix
  • hosts/bicep/configuration.nix
  • hosts/buskerud/configuration.nix
  • hosts/ildkule/configuration.nix
  • hosts/shark/configuration.nix
View command line instructions

Checkout

From your project repository, check out a new branch and test the changes.
git fetch -u origin setup-home-areas:setup-home-areas
git checkout setup-home-areas
Sign in to join this conversation.
Reviewers
No Reviewers
danio
felixalb
Labels
Clear labels
art
The issue needs someone to be creative
 backup
big
No, not bug, **big** - this is gonna take a while
 blocked
This issue/PR depends on one or more other issues/PRs
 bug
Something is not working, and it's not the shield hero
 crash report
Report an oopsie
 disputed
kranglefanter
 documentation
Documentation changes required
 duplicate
This issue or pull request already exists
 enhancement
New feature
 good first issue
Get your hands dirty with a new project here
 logging
networking
TTM4100
 nixos
Requires changes to our nixos setup
 question
More information is needed
 salt
Requires changes to our salt setup
 security
Skommel
 servers n' hardware
Regards hardware, servers or VMs
 wontfix
This won't be fixed
No Label
Milestone
No items
No Milestone
Assignees
Clear assignees
adriangl albertba alfhj amalieem bjornoka chrisfjo chrivi danio davidk dungby eirikwit felixalb frero jonmro jovre karolds knuta krisleri larshhan oysteikt pederbs root torsteno yorinad
No Assignees
3 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: Drift/pvv-nixos-config#19
Delete Branch "setup-home-areas"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?