Drift/pvv-nixos-config
Drift/pvv-nixos-config
16
4
Fork 1
Code Issues Pull Requests10 Actions Wiki Activity

WIP: Set up homearea automounts #19

Draft
oysteikt wants to merge 1 commits from setup-home-areas into main
Conversation 3 Commits 1 Files Changed 6 +32
oysteikt commented 2023-12-03 04:20:55 +01:00
Owner

wanna go home for christmas

![wanna go home for christmas](/attachments/be4bd8e0-1a6b-47fb-99f3-a58d582ad3dd)
image.png
196 KiB
🚀 2
oysteikt added 1 commit 2023-12-03 04:20:56 +01:00
oysteikt requested review from danio 2023-12-03 04:21:05 +01:00
oysteikt requested review from felixalb 2023-12-03 04:21:05 +01:00
danio reviewed 2023-12-03 07:15:04 +01:00
danio left a comment
Owner

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder
modules/home-areas.nix
@ -0,0 +1,27 @@
{ pkgs, lib, ... }:
{
fileSystems = let
danio commented 2023-12-03 07:14:42 +01:00
Owner

Hvordan tenker du å synkronisere uid/gider på disse filene?

Hvordan tenker du å synkronisere uid/gider på disse filene?
oysteikt commented 2023-12-03 11:30:34 +01:00
Author
Owner

Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging

Har ikke tenkt å gjøre noe atm, jobber fortsatt med innlogging
modules/home-areas.nix
@ -0,0 +3,4 @@
fileSystems = let
shorthandAreas = {
# See toriel:/etc/exports
"/home/pvv/t/pederbs" = "homepvvt.pvv.ntnu.no:/export/home/pvv/t/pederbs";
danio commented 2023-12-03 07:11:20 +01:00
Owner

Jeg tror peder har flyttet seg vekk fra toriel?

Jeg tror peder har flyttet seg vekk fra toriel?
oysteikt commented 2023-12-03 11:31:56 +01:00
Author
Owner

Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?

Exporten på toriel finnes fortsatt, og den er mounta et par steder da. Kan ev. fjernes?
felixalb commented 2024-01-06 22:11:26 +01:00
Owner

microbel$ cat /etc/passwd | grep "home/pvv/t" gir ingen resultater, tror det er greit å fjerne

`microbel$ cat /etc/passwd | grep "home/pvv/t"` gir ingen resultater, tror det er greit å fjerne
felixalb reviewed 2024-01-06 22:13:13 +01:00
hosts/bekkalokk/configuration.nix
@ -5,6 +5,7 @@
../../base.nix
../../misc/metrics-exporters.nix
../../modules/home-areas.nix
felixalb commented 2024-01-06 22:13:13 +01:00
Owner

Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.

Foreslår å fjerne den her fra service-maskiner som web, db og matrix. Modulen kan heller importeres på spesifikke login-maskiner, der vanlige brukere kan ha tilgang.
felixalb commented 2024-02-18 22:43:17 +01:00
Owner

I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene.

Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder

Bare hvis tjenestene kan su-e til hver bruker, eller brukeren har endret til mer åpne permissions.
Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun danio kan lese ~danio.

Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med mount over NFS uansett, også hvis det ikke er satt opp på boksen.

Det gjør det mer convenient, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.

> I guess at hjemmeområdene eksisterer ikke nødvendigvis krever at alle har tilgang til serverene. > > Øker noe risiko mtp at tjenester kan få tilgang til hjemmeområder Bare hvis tjenestene kan `su`-e til hver bruker, eller brukeren har endret til mer åpne permissions. Vi bruker ikke root squash, så root på feks bekkalokk har ikke lov til å lese brukerfiler, kun `danio` kan lese `~danio`. Og hvis de kan su-e til hver bruker kan de sannsynligvis også pivotere til andre bokser, eller montere hjemmeområdene med `mount` over NFS uansett, også hvis det ikke er satt opp på boksen. Det gjør det mer _convenient_, så et tenkt skadevare kan skanne og automatisk hente ut ting, men noen som leser wikien, nix-configen eller kjenner systemet får ikke egentlig noen flere tilganger enn om vi ikke slår på dette.
👍 1
oysteikt changed title from Set up homearea automounts to WIP: Set up homearea automounts 2024-08-26 19:19:04 +02:00
All checks were successful
Eval nix flake / evals (pull_request) Successful in 9m40s
Details
Eval nix flake / evals (push) Successful in 36m48s
Details
This pull request has changes conflicting with the target branch.
  • hosts/bekkalokk/configuration.nix
  • hosts/bicep/configuration.nix
  • hosts/buskerud/configuration.nix
  • hosts/ildkule/configuration.nix
  • hosts/shark/configuration.nix
View command line instructions.

Checkout

From your project repository, check out a new branch and test the changes.
git fetch -u origin setup-home-areas:setup-home-areas
git checkout setup-home-areas
Sign in to join this conversation.
No Reviewers
felixalb
danio
No Label
No Milestone
No Assignees
3 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: Drift/pvv-nixos-config#19
No description provided.
Delete Branch "setup-home-areas"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?