| 24 Oct 2025 |
 Lucio | Qualcuno al Linux day domani? | 18:02:23 |
| Lucio | Ottimo! | 19:10:08 |
 Andrea Ciceri | In reply to Lucio
Qualcuno al Linux day domani? Si e secondo me saremo almeno almeno 3-4 da questo gruppo | 19:05:43 |
| 25 Oct 2025 |
 Nonno Felice | In reply to Andrea Ciceri
Si e secondo me saremo almeno almeno 3-4 da questo gruppo Come fa l'umile omettendo che deve fare un talk su NixOS | 03:28:22 |
 Alex0 | Però ci sta imo, soprattutto per CI oppure setup dichiarativi | 08:00:55 |
| Alex0 | Lmao | 08:00:19 |
| Andrea Ciceri | @Mugiwarix https://git.m-labs.hk/M-Labs/wfvm | 07:59:26 |
|  Nespoli joined the room. | 12:38:03 |
 Sergio Besana | 
Download image.jpeg | 12:25:02 |
| Sergio Besana | Buon Linux day a tutti | 12:25:02 |
|  Alessandro Bertulli joined the room. | 13:14:37 |
|  Francesco Pio joined the room. | 16:42:50 |
 gecko | Non ho mai usato agenix o similari ma mi viene un dubbio: ho una derivazione che per essere buildata richiede un segreto.
C'è modo di far sì che uno possa usare la derivazione prendendola da una cache binaria, anche se non sarebbe in grado di rebuildarla perché non ha accesso al segreto? | 19:59:45 |
 Alessandro 🤔➖☀️🖌 | In reply to gecko
Non ho mai usato agenix o similari ma mi viene un dubbio: ho una derivazione che per essere buildata richiede un segreto.
C'è modo di far sì che uno possa usare la derivazione prendendola da una cache binaria, anche se non sarebbe in grado di rebuildarla perché non ha accesso al segreto? Quindi tipo che il compilatore ha bisogno di una password per funzionare? In un caso simile, il binario andrebbe senza password, quindi basterebbe copiarlo altrove e funzionerebbe. Se invece anche il binario ha bisogno di quella password per funzionare, allora no. Ma mi pare di capire che il secret ti serva solo in fase di build, quindi direi che basterebbe fare la chiusura del pacchetto e lo potresti far andare ovunque. | 22:28:03 |
 Francesco | Credo che serva un metodo per introdurre il segreto in una maniera impura durante la build, per fare in modo che non venga messo nella closure che ti copi quando vai a prendere la derivazione dalla cache | 22:49:29 |
| Francesco | In reply to gecko
Non ho mai usato agenix o similari ma mi viene un dubbio: ho una derivazione che per essere buildata richiede un segreto.
C'è modo di far sì che uno possa usare la derivazione prendendola da una cache binaria, anche se non sarebbe in grado di rebuildarla perché non ha accesso al segreto? Prova a dare un'occhiata all'opzione allow-unsafe-native-code-during-evaluation e builtins.exec (che è abilitato solo se quell'opzione è true) magari
https://nixos.wiki/wiki/Comparison_of_secret_managing_schemes | 22:50:59 |
| 26 Oct 2025 |
| gecko | Ma agenix come funziona? La chiave privata non finisce nello store quindi da un certo lato è "impuro". Pensavo di poter sfruttare il modo in cui fa le cose agenix. | 07:26:31 |
| Andrea Ciceri | Lo script eseguito come activation script si aspetta che l'host abbia le chiavi ssh giuste per decriptare i segreti ma non puo' saperlo quando nix valuta e builda le derivazioni. Quindi magari il sistema parte e tutto pero' mancano i segreti dentro /run/agenix e i servizi che li cercano falliscono quindi | 14:39:07 |
| Andrea Ciceri | https://github.com/tweag/rfcs/blob/acls/rfcs/0143-nix-store-acls.md
C'e' questa RFC in proposito comunque | 14:43:03 |
| Andrea Ciceri | In reply to gecko
Ma agenix come funziona? La chiave privata non finisce nello store quindi da un certo lato è "impuro". Pensavo di poter sfruttare il modo in cui fa le cose agenix. agenix e' sia un modulo NixOS che una utility CLI:
- la CLI ti permette di manipolare i segreti (agenix --edit foo.age)
- il modulo NixOS ti permette di dichiarare quali sono questi segreti (specifichi quali sono i file .age che quindi verranno copiati nello store) e aggiunge un activation script a NixOS che prova a decriptare questi file .age (tipo in /run/agenix/foo). Inoltre sempre dichiarativamente ti lascia specificare i permessi che avranno i file decriptati e ti lasciare sapere ad eval time di nix quali saranno i path dei segreti cosi' che tu possa settarli dentro altre opzioni (services.pippo.tokenPath = config.age.secrets.foo.path) | 14:37:51 |
