WIP: Set up homearea automounts #19
Labels
No Label
art
backup
big
blocked
bug
crash report
disputed
documentation
duplicate
enhancement
good first issue
logging
nixos
question
salt
security
servers n' hardware
wontfix
No Milestone
No Assignees
3 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: Drift/pvv-nixos-config#19
Loading…
Reference in New Issue
Block a user
No description provided.
Delete Branch "setup-home-areas"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.
Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder
@ -0,0 +1,27 @@
{ pkgs, lib, ... }:
{
fileSystems = let
Hvordan tenker du å synkronisere uid/gider på disse filene?
Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging
@ -0,0 +3,4 @@
fileSystems = let
shorthandAreas = {
# See toriel:/etc/exports
"/home/pvv/t/pederbs" = "homepvvt.pvv.ntnu.no:/export/home/pvv/t/pederbs";
Jeg tror peder har flyttet seg vekk fra toriel?
Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?
microbel$ cat /etc/passwd | grep "home/pvv/t"
gir ingen resultater, tror det er greit å fjerne@ -5,6 +5,7 @@
../../base.nix
../../misc/metrics-exporters.nix
../../modules/home-areas.nix
Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.
Bare hvis tjenestene kan
su
-e til hver bruker, eller brukeren har endret til mer åpne permissions.Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun
danio
kan lese~danio
.Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med
mount
over NFS uansett, også hvis det ikke er satt opp på boksen.Det gjør det mer convenient, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.
Set up homearea automountsto WIP: Set up homearea automountsCheckout
From your project repository, check out a new branch and test the changes.