| 12 Jun 2026 |
 PedroHLC | o repo não tem cache pro nixpkgs-unstable, só pro nixos-unstable, mas pelo menos o kernel eu sei que ta cacheado pq a hash ta dando a mesma | 23:20:54 |
| PedroHLC | Eu tentaria dar um follows primeiro | 23:22:29 |
| PedroHLC | Pra não regredir seu sistema | 23:22:38 |
| PedroHLC | E na próxima vez que for dar um flake bump | 23:22:52 |
| PedroHLC | Ai tirava o follows | 23:22:58 |
| PedroHLC | Ou se você for mais corajoso | 23:23:08 |
| PedroHLC | nixpkgs.follows = "chaotic/nixpkgs" | 23:23:35 |
| PedroHLC | hoje em especifico não | 23:39:46 |
| PedroHLC | o certo era nunca mudar, pq pra mudar vc precisa revisar tudo que mudou junto | 23:40:08 |
| PedroHLC | tipo, tem defaults que seguram as coisas baseados no stateVersion | 23:40:33 |
| 13 Jun 2026 |
 GALLY | StateVersion:
https://discourse.nixos.org/t/when-should-i-change-system-stateversion/1433 | 00:17:52 |
 Marcos Fonseca | https://www.phoronix.com/news/Arch-Linux-AUR-400-Compromised | 01:27:44 |
| Marcos Fonseca | Pelo nix usar pacotes reprodusiveis, está seguro pra esse tipo de ataque? | 01:28:49 |
| Marcos Fonseca | Ou seria mais seguro por outros motivos, ou não tem nada haver e tá tudo mundo lascado e não for paranóico em cada update? | 01:29:45 |
| Marcos Fonseca | Saquei | 01:39:28 |
| Marcos Fonseca | * Ou seria mais seguro por outros motivos, ou não tem nada haver e tá tudo mundo lascado se não for paranóico em cada update? | 01:39:41 |
| GALLY | tá tudo mundo lascado se não for paranóico em cada update Esse deveria ser o default. | 20:03:25 |
| GALLY | A solução seria conversar com os upstreams para usar o cmake direito. | 20:04:07 |
 ● Igor Café | impossivel | 22:07:11 |
| ● Igor Café | ainda mais esse caso q o okada falou | 22:07:56 |
| ● Igor Café | se criar um usuario app e ele so ter acesso a arquivos dele e do grupo apps, e botar a maioria dos programas pra rodar nesse usuario, ja nao diminui a superficie de ataques do tipo? | 22:15:12 |
| ● Igor Café | tipo ~/.ssh, se tu roda um script ou qualquer coisa no teu user, ele pode ler tua chave privada, se ela n for protegida por senha | 22:16:58 |
| Marcos Fonseca | as vezes eu penso em isolar a home usando bubblewrap, mas sou user non-nixos e ta parecendo bem complicado fazer funcionar e ainda ter acesso as coisas do nix | 22:37:29 |
| Marcos Fonseca | Isso, cada app é um user | 23:29:30 |
| PedroHLC | Systemd hardening é o que você quer | 23:40:57 |
| ● Igor Café | talvez | 23:41:28 |
| ● Igor Café | isso eu ja vi que muitos programas no linux fazem... nginx e tal | 23:41:45 |
| ● Igor Café | so q com o permissionamento simples eh um pouco limitado, tipo se tu quer q tanto o chrome quanto o telegram tenham acesso a pasta downloads, vc vai ter ter q adicionar os dois a um mesmo grupo | 23:42:52 |
| PedroHLC | Ta querendo de mais, desinstala nix, instala qubeos | 23:43:36 |
| 14 Jun 2026 |
| ● Igor Café | sim, cheguei a ver por alto | 03:19:41 |
