| 14 Mar 2026 |
 hexa | du darfst unsigned uploaden, aber unsigned substitution tut nicht | 12:53:03 |
 Atemu | Wild.
vlt. require-sigs ausstellen? Ist eh praktisch ohne Effekt bei trusted users.
| 19:34:28 |
 maralorn | Ich bin ja auf meinen Systemen nicht mehr trusted user. | 21:42:24 |
| maralorn | Irgendwer hat mich neulich davon überzeugt, dass das security technisch besser ist. | 21:44:31 |
 Grimmauld (any/all) | Kannst aber keine remote build starten, falls du nicht auf deinem builder trusted bist | 22:24:23 |
| Grimmauld (any/all) | * Kannst aber afaik keine remote build starten, falls du nicht auf deinem builder trusted bist | 22:24:33 |
| Grimmauld (any/all) | * Kannst aber afaik keine remote builds starten, falls du nicht auf deinem builder trusted bist | 22:24:45 |
| maralorn | Hm, plausibel, ja. | 22:25:13 |
| maralorn | Obwohl vermutlich nur, weil man die storepaths mit den sources hochladen muss? | 22:25:59 |
| maralorn | Du kannst ja lokal ohne trusted user bauen, etwas weird, wenn man remote mehr rechte braucht | 22:26:35 |
| 15 Mar 2026 |
|  @jykrwn_bot:matrix.org joined the room. | 00:26:47 |
| hexa | wem gehört der bot? | 01:03:30 |
| @jykrwn_bot:matrix.org left the room. | 01:04:13 |
| Atemu | Ja genau | 08:49:25 |
| Atemu | Trusted user ist gleichzusetzen mit root weil du store paths mit arbitrary content produzieren kannst | 08:50:38 |
| Atemu | Jetzt wo ich darüber nachdenke, finde ich es honestly ein wenig odd dass es da überhaupt ein user-managment gibt? Wer trusted user ist, kann seine privileges zu root escalaten. Da kann man auch gleich sagen, dass nur root das darf und der darf es eh immer.. | 08:53:25 |
| Atemu | Wenn du per --store baust, geht das auch ohne trusted user. | 08:54:32 |
| maralorn | Ich glaube der Punkt ist, dass Du das sogar für jeden storepath machen kannst, oder? Denn ich meine auch untrusted user können mit nix bauen, was sie wollen. | 09:08:12 |
| Atemu | Ja, sorry unglücklich ausgedrückt. Sie haben volle Kontrolle, welcher store path welchen content hat und können root privileges erlangen, indem sie einen store path generieren, der vom system als privileged angesehen wird oder werden wird. | 09:11:36 |
|  NixOS Moderation Bot banned @jykrwn_bot:matrix.org (disagreement). | 20:28:00 |
| 16 Mar 2026 |
| maralorn | Gnarf. Ich bin mal wieder an der Stelle angekommen wo ich anscheinend einen secret-service provider brauche. | 17:03:45 |
| maralorn | Also vermutlich gnome-keyring. | 17:03:51 |
| maralorn | Meine Erfahrung damit ist jedesmal wieder unendlich schmerzvoll. | 17:04:33 |
| maralorn | Aber vielleicht halte ich es auch einfach immer nur falsch. | 17:04:41 |
| maralorn | Hat hier jemand einen funktionierenden Umgang mit gnome-keyring unter nicht gnome auf nixos. Ich habe niri aber sway o.Ä. setups lassen sich gewiss übertragen. | 17:05:37 |
| maralorn | * Hat hier jemand einen funktionierenden Umgang mit gnome-keyring unter nicht gnome auf nixos? Ich habe niri aber sway o.Ä. setups lassen sich gewiss übertragen. | 17:06:04 |
| maralorn | (Konkreter Anlass ist, dass der nextcloud-client sich ansonsten bei jedem neustart neu pairen muss.) | 17:06:28 |
| hexa | { pkgs, ... }:
{
security.pam.services."default".enableGnomeKeyring = true;
programs.sway.extraSessionCommands = ''
eval $(gnome-keyring-daemon --start --components=pkcs11,secrets,ssh);
export SSH_AUTH_SOCK;
'';
services.gnome.gnome-keyring.enable = true;
services.dbus.packages = [ pkgs.gnome-keyring pkgs.gcr ];
}
| 17:08:20 |
 ma27 | das gnome subset, das ich auf meinem frickel-sway benutze ist
security.pam.services.greetd.enableGnomeKeyring = true;
services = {
gnome = {
gnome-keyring.enable = true;
evolution-data-server.enable = true;
# requires `XDG_CURRENT_DESKTOP=GNOME gnome-control-center` to configure.
gnome-online-accounts.enable = true;
};
};
und via home-manager services.gnome-keyring = { enable = true; components = ["secrets"]; } (keine Ahnung, ob es das braucht, hab den Teil seit Jahren nimmer angefasst)
funktioniert für mich ziemlich gut.
und ich empfehle seahorse, falls du in den Keyring mal reinschaun musst. | 17:10:30 |
| hexa | Ich weiss nicht, was ich da tue, aber es tut für mich | 17:11:01 |
