#nixos-fr on 2020-06-17

2018-09-26 15:51 ChanServ changed the topic of #nixos-fr to: https://nixos.org || Salon francographe de NixOS || https://logs.nix.samueldr.com/nixos-fr

07:12 lsix has joined #nixos-fr

08:00 nix-build has quit [Remote host closed the connection]

08:00 {^_^} has joined #nixos-fr

09:12 <PirBoazo> @Raito_Bezarius Houpsss tmux sans window manager ? désolé mais je comprends pas

10:09 alp has joined #nixos-fr

10:33 alp has quit [Remote host closed the connection]

10:34 alp has joined #nixos-fr

10:36 alp has quit [Remote host closed the connection]

10:38 alp has joined #nixos-fr

11:15 alp has quit [Ping timeout: 272 seconds]

11:19 alp has joined #nixos-fr

12:31 PirBoazo has quit [Quit: Bonne Fin de Journée]

13:27 <julm> Pour info, depuis mai il y a un <nixos/profiles/hardened.nix>

13:33 <julm> il y a aussi d'autres profiles, dont <nixos/profiles/graphical.nix>

13:33 <julm> ça vole pas bien haut, mais ça a le mérite d'exister

13:45 <Raito_Bezarius> PirBoazo: tu peux juste utiliser un framebuffer

13:45 <Raito_Bezarius> https://fosdem.org/2020/schedule/event/fbdev/

13:45 <NinjaTrappeur> julm: trop cool! Je ne conaissais pas!

13:46 <julm> NinjaTrappeur: c frais du moi dernier, je suis tombé dessus par hasard en faisant un git grep sysctl

13:46 <Raito_Bezarius> j'ai un profil anti-mitigations spectre/meltdown haha moi

13:46 <lewo> amd.nix ?

13:46 <julm> avec ce profile NixOS devient une distro AppArmor

13:48 <julm> (sous entendu, et pas SELinux, comme android ou rhel)

13:50 <NinjaTrappeur> J'ai jamais vraiment creusé apparmor. Je sais quoi faire ce soir du coup :)

13:51 <NinjaTrappeur> hmm, étant donné de que profile ne met en place aucun profile apparmor, j'ai du mal a voir quelle est l'utilité de l'activer

13:51 <NinjaTrappeur> (cf. https://github.com/NixOS/nixpkgs/blob/master/nixos/modules/security/apparmor.nix#L49 )

13:58 <julm> NinjaTrappeur: des profile sont mis en place par certains services, comme transmission

14:00 <julm> quand tu sais pas qu'apparmor est activé, ça surprend parce que tu vas parfois plus pouvoir accéder à des dossiers alors que les perms Unix te le permettent

14:01 <julm> mais j'aime beaucoup l'aspect déclaratif d'apparmor, contrairement à avoir tes perms disséminées dans les metadata des ressources avec chmod/chown

14:04 <NinjaTrappeur> ah! Nice

14:04 <NinjaTrappeur> Après le sandboxing des service systemd, encore un puis sans fond en perspective :)

14:11 <julm> certain.nes s'y confrontent : https://github.com/NixOS/nixpkgs/pull/87661

14:11 <{^_^}> #87661 (by dasJ, 5 weeks ago, open): nixos/systemd-sandbox: A generic sandboxing module

14:12 <julm> ça ou apparmor devraient pas mal remplacer systemd-confinement.nix

14:12 <julm> qui ne fait que des mount namespaces

14:14 <NinjaTrappeur> hmmm, pas super fan de l'abstraction. Merci pour le lien!

14:23 <NinjaTrappeur> Mouais, pourquoi pas après tout.

14:24 <NinjaTrappeur> Le niveau 2 va clairement poser problème.

14:25 <NinjaTrappeur> Restraindre les capabilities sans avoir une conaissance approfondie du programme qu'on sandboxe est pas vraiment une bonne idée: c'est assez facile d'être trop restrictif. C'est également assez difficile a tester.

15:11 PirBoazo has joined #nixos-fr

16:40 <PirBoazo> @Raito_Bezarius , merci je ne savais pas , j'ai vu mais bon le but est d'installer un xserver et un desktop pour pouvoir interagir sur des interfaces web. etc..etc...

16:41 <PirBoazo> C'est up sddm1mate avec un kernel 4.19 merci de vos conseils

16:41 <PirBoazo> bonne soirée

16:51 PirBoazo has left #nixos-fr [#nixos-fr]

16:52 PirBoazo has joined #nixos-fr

16:53 PirBoazo has quit [Quit: Bonne Fin de Journée]

16:53 PirBoazo has joined #nixos-fr

17:08 alp has quit [Ping timeout: 246 seconds]

19:24 <Raito_Bezarius> j'ai un pote qui a du code pour firejailer un peu tout sous NixOS

19:24 <Raito_Bezarius> c'est sympa pour firefox & co

19:26 <NinjaTrappeur> https://github.com/openlab-aux/vuizvui/blob/09dc1d8ad625b9a1d5b89593b184d316837ba1cc/pkgs/build-support/build-sandbox/default.nix#L26 ?

19:57 alp has joined #nixos-fr

20:05 <Yakulu[m]1> Raito_Bezarius: je suis encore sous arch (sur mon laptop, mes serveurs sont sous NixOS), et je firejail quelques trucs, la code m'intéresse pour le jour de ma future migration s'il est disponible quelque part ;)

20:09 <Raito_Bezarius> y a un début ici: https://code.govanify.com/govanify/navi/src/branch/master/common/sandboxing.nix

20:09 <Raito_Bezarius> mais je crois qu'il a pas tout mis en ligne

20:09 <Raito_Bezarius> je peux pinger la personne en Q pour lui demander ce qu'il en est

20:10 aminechikhaoui0 has joined #nixos-fr

20:18 Freneticks has quit [*.net *.split]

20:18 aminechikhaoui has quit [*.net *.split]

20:19 aminechikhaoui0 is now known as aminechikhaoui

20:25 Freneticks has joined #nixos-fr

20:39 zimbatm has quit [Ping timeout: 246 seconds]

20:48 <NinjaTrappeur> ah d'accord! Le module vient de nixpkgs :) ( https://github.com/NixOS/nixpkgs/blob/master/nixos/modules/programs/firejail.nix )

21:36 alp has quit [Ping timeout: 272 seconds]

21:38 zimbatm has joined #nixos-fr

22:37 alp has joined #nixos-fr

22:47 lsix has quit [Quit: WeeChat 2.8]