 | Nix Milan | 107 Members |
| https://milano.nix.pizza/ | 7 Servers |
| Nix Milan | 107 Members |
| https://milano.nix.pizza/ | 7 Servers |
| Sender | Message | Time |
|---|---|---|
| 21 Oct 2025 | ||
 Lucio | Ho fatto una review veloce ma non ho trovato molto, appena ho tempo do un'occhiata più approfondita | 08:40:51 |
| Lucio | Mah ho installato le stesse cose che uso su una VM Kali senza problemi. Il problema l'ho avuto su questa macchina con Ubuntu all'avvio da GDM. | 08:32:58 |
| Lucio | A qualcuno è mai capitato che installando home manager su distro Linux generica (es. Ubuntu) il login tramite display manager non andasse (mentre da TTY funziona)? | 08:24:34 |
 Nonno Felice | Dipende cosa hai installato immagino e da cosa fai dentro ai vari .xinitrc, .bashrc ecc (non ricordo se vengono source-ati dal DM perché non ne uso alcuno) Però mi sembra che home-manager non possa andare a smanacciare fuori dalla home | 08:27:03 |
| Nonno Felice | Cosa ti dice journalctl? | 08:34:59 |
| 22 Oct 2025 | ||
 gecko | Provo a trovare un po' di tempo, ma devo fare un po' di redazione di cose. In compenso ora ho delle opzioni ed è meno un accrocchio. | 11:45:55 |
| 24 Oct 2025 | ||
 @andreabedini:matrix.org left the room. | 01:22:38 | |
| Lucio | Qualcuno al Linux day domani? | 18:02:23 |
| Lucio | Ottimo! | 19:10:08 |
 Andrea Ciceri | In reply to LucioSi e secondo me saremo almeno almeno 3-4 da questo gruppo | 19:05:43 |
| 25 Oct 2025 | ||
| Nonno Felice | In reply to Andrea CiceriCome fa l'umile omettendo che deve fare un talk su NixOS | 03:28:22 |
 Alex0 | Però ci sta imo, soprattutto per CI oppure setup dichiarativi | 08:00:55 |
| Alex0 | Lmao | 08:00:19 |
| Andrea Ciceri | @Mugiwarix https://git.m-labs.hk/M-Labs/wfvm | 07:59:26 |
 Nespoli joined the room. | 12:38:03 | |
 Sergio Besana |  Download image.jpeg | 12:25:02 |
| Sergio Besana | Buon Linux day a tutti | 12:25:02 |
 Alessandro Bertulli joined the room. | 13:14:37 | |
 Francesco Pio joined the room. | 16:42:50 | |
| gecko | Non ho mai usato agenix o similari ma mi viene un dubbio: ho una derivazione che per essere buildata richiede un segreto. C'è modo di far sì che uno possa usare la derivazione prendendola da una cache binaria, anche se non sarebbe in grado di rebuildarla perché non ha accesso al segreto? | 19:59:45 |
 Alessandro 🤔➖☀️🖌 | In reply to geckoQuindi tipo che il compilatore ha bisogno di una password per funzionare? In un caso simile, il binario andrebbe senza password, quindi basterebbe copiarlo altrove e funzionerebbe. Se invece anche il binario ha bisogno di quella password per funzionare, allora no. Ma mi pare di capire che il secret ti serva solo in fase di build, quindi direi che basterebbe fare la chiusura del pacchetto e lo potresti far andare ovunque. | 22:28:03 |
 Francesco | Credo che serva un metodo per introdurre il segreto in una maniera impura durante la build, per fare in modo che non venga messo nella closure che ti copi quando vai a prendere la derivazione dalla cache | 22:49:29 |
| Francesco | In reply to geckoProva a dare un'occhiata all'opzione allow-unsafe-native-code-during-evaluation e builtins.exec (che è abilitato solo se quell'opzione è true) magarihttps://nixos.wiki/wiki/Comparison_of_secret_managing_schemes | 22:50:59 |
| 26 Oct 2025 | ||
| gecko | Ma agenix come funziona? La chiave privata non finisce nello store quindi da un certo lato è "impuro". Pensavo di poter sfruttare il modo in cui fa le cose agenix. | 07:26:31 |
| Andrea Ciceri | Lo script eseguito come activation script si aspetta che l'host abbia le chiavi ssh giuste per decriptare i segreti ma non puo' saperlo quando nix valuta e builda le derivazioni. Quindi magari il sistema parte e tutto pero' mancano i segreti dentro /run/agenix e i servizi che li cercano falliscono quindi | 14:39:07 |
| Andrea Ciceri | https://github.com/tweag/rfcs/blob/acls/rfcs/0143-nix-store-acls.md C'e' questa RFC in proposito comunque | 14:43:03 |
| Andrea Ciceri | In reply to geckoagenix e' sia un modulo NixOS che una utility CLI: - la CLI ti permette di manipolare i segreti ( agenix --edit foo.age)- il modulo NixOS ti permette di dichiarare quali sono questi segreti (specifichi quali sono i file .age che quindi verranno copiati nello store) e aggiunge un activation script a NixOS che prova a decriptare questi file .age (tipo in /run/agenix/foo). Inoltre sempre dichiarativamente ti lascia specificare i permessi che avranno i file decriptati e ti lasciare sapere ad eval time di nix quali saranno i path dei segreti cosi' che tu possa settarli dentro altre opzioni (services.pippo.tokenPath = config.age.secrets.foo.path) | 14:37:51 |
| Andrea Ciceri | Comunque, per curiosita', che derivazione stai buildando a cui serve un segreto? Magari c'e' un modo piu' pulito di gestire la cosa. Altrimenti concordo con @steinuil, non credo si possa fare altro... Perche' comunque va bene introdurre una impurita' nella sandbox per leggere il segreto ma poi l'output finale nella derivazione non contiene piu' in nessun modo il segreto? Chiedo perche' senno' cosi' sei da capo | 14:42:47 |
| Francesco | Se non ho capito male lui vorrebbe fare in modo che uno possa sostituire la derivazione tramite la cache (quindi gli input sarebbero uguali?) ma se non hai il segreto non puoi buildarla | 14:54:01 |
| Andrea Ciceri | In reply to FrancescoSe ho capito bene: - hai il segreto -> buildi tutto da solo (impuremente, il segreto non finisce nello store) - non hai il segreto ma hai la cache configurata -> la scarichi dalla cache (e comunque il segreto non finisce mai nello store) Pero' mi chiedevo che cosa ncessiti di segreti durante la build che poi non vengano in qualche modo propagati nell'output. Forse deve firmare dei binari? | 15:13:41 |