WIP: Set up homearea automounts #19

oysteikt · 2023-12-03T04:20:55+01:00

oysteikt commented

2023-12-03 04:20:55 +01:00

![wanna go home for christmas](/attachments/be4bd8e0-1a6b-47fb-99f3-a58d582ad3dd)

image.png

196 KiB

🚀 2

oysteikt added 1 commit 2023-12-03 04:20:56 +01:00

Eval nix flake / evals (pull_request) Successful in 9m40s Details

Eval nix flake / evals (push) Successful in 36m48s Details

ddc4d8cea0

set up homearea automounts

oysteikt requested review from danio 2023-12-03 04:21:05 +01:00

oysteikt requested review from felixalb 2023-12-03 04:21:05 +01:00

danio reviewed 2023-12-03 07:15:04 +01:00

danio left a comment

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

modules/home-areas.nix

						
				@ -0,0 +1,27 @@

				{ pkgs, lib, ... }:

				{

				  fileSystems = let

danio commented

2023-12-03 07:14:42 +01:00

Hvordan tenker du å synkronisere uid/gider på disse filene?

oysteikt commented

2023-12-03 11:30:34 +01:00

Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging

modules/home-areas.nix

						
				@ -0,0 +3,4 @@

				  fileSystems = let

				    shorthandAreas = {

				      # See toriel:/etc/exports

				      "/home/pvv/t/pederbs" = "homepvvt.pvv.ntnu.no:/export/home/pvv/t/pederbs";

danio commented

2023-12-03 07:11:20 +01:00

Jeg tror peder har flyttet seg vekk fra toriel?

oysteikt commented

2023-12-03 11:31:56 +01:00

Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?

felixalb commented

2024-01-06 22:11:26 +01:00

microbel$ cat /etc/passwd | grep "home/pvv/t" gir ingen resultater, tror det er greit å fjerne

`microbel$ cat /etc/passwd | grep "home/pvv/t"` gir ingen resultater, tror det er greit å fjerne

felixalb reviewed 2024-01-06 22:13:13 +01:00

hosts/bekkalokk/configuration.nix

						
				@ -5,6 +5,7 @@

				    ../../base.nix

				    ../../misc/metrics-exporters.nix

				    ../../modules/home-areas.nix

felixalb commented

2024-01-06 22:13:13 +01:00

Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.

felixalb commented

2024-02-18 22:43:17 +01:00

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

Bare hvis tjenestene kan su-e til hver bruker, eller brukeren har endret til mer åpne permissions.
Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun danio kan lese ~danio.

Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med mount over NFS uansett, også hvis det ikke er satt opp på boksen.

Det gjør det mer convenient, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.

> I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. > > Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder Bare hvis tjenestene kan `su`-e til hver bruker, eller brukeren har endret til mer åpne permissions. Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun `danio` kan lese `~danio`. Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med `mount` over NFS uansett, også hvis det ikke er satt opp på boksen. Det gjør det mer _convenient_, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.

👍 1

oysteikt changed title from ~~Set up homearea automounts~~ to WIP: Set up homearea automounts

2024-08-26 19:19:04 +02:00

Eval nix flake / evals (pull_request) Successful in 9m40s

Details

Eval nix flake / evals (push) Successful in 36m48s

Details

This pull request has changes conflicting with the target branch.