| 27 Jan 2026 |
 ManUtopiK |
limiter l'accès à une db à un user unix pour isoler
Vous créez un user system par appli du coup ?
| 17:56:47 |
 Jo.Blade | en fait de manière générale, on a créé les utilisateurs pour permettre d'isoler.
Avec docker, tous tes services tournent en root (avec podman, tu peux faire tourner chaque service dans un user séparé mais ça apporte pas grand chose de plus que de faire tourner dans un user direct) | 17:56:52 |
| ManUtopiK | *
limiter l'accès à une db à un user unix pour isoler
Vous créez un user system par appli du coup ?
| 17:57:00 |
 locnide ⚡️ | In reply to @jo.blade:matrix.org
un postgres pour tous avec une db pour chaque appli. En plus tu peux limiter l'accès à une db à un user unix pour isoler Et c'est le même user qui possède les fichiers de données du service | 17:57:12 |
 thoth | La seule limite c'est pour faire tourner deux fois le même service | 17:58:30 |
| Jo.Blade | oui mais comme on est sur nix, on a pas le problème d'avoir 2 versions différentes de la même app.
Donc t'as juste à réécrire ton service systemd pour que le workdir de chaque instance soit différent | 17:59:37 |
| Jo.Blade | (ouais en soit on peut considérer que nix c'est une techno de virtu) | 18:00:53 |
| Jo.Blade | * | 18:01:36 |
| Jo.Blade | * | 18:01:48 |
| ManUtopiK | Ok, je vois le concept, merci !
Bon, après il faut se taper de créé in .nix pour des applis qui ne sont pas dans nixpkgs.
Je vais essayer sur cette voie et revoir ma copie :) | 18:03:27 |
 raitobezarius | y a meme pas besoin le jour où on écrit des portable services proprement | 18:04:10 |
| Jo.Blade | ouais en vrai c'est un peu chiant au début, mais l'avantage c'est que t'as quand même déjà beaucoup de trucs qui sont dispos comme des modules nixos | 18:04:17 |
| raitobezarius | mais ça sera pour le futur™ | 18:04:20 |
| ManUtopiK | Et du coup, comment vous accéder en ssh à la machine ? Un accès pour tous les user unix par applis ? En root ? | 18:04:26 |
| raitobezarius | en root@ | 18:04:32 |
| Jo.Blade | ouais en root, et après si tu veux changer d'user tu peux utiliser sudo -u | 18:04:52 |
| Jo.Blade | clé ssh only et derrière un vpn car jsuis pas un grand fan d'exposer publiquement le ssh | 18:05:21 |
| ManUtopiK | ok !
En tout cas votre solution m'a l'air plus simple que de passer par compose2nix et docker... déjà compose2nix convertit pas toujours bien certaines commandes, puis ça fait une couche supplémentaire à gérer pour rien. | 18:07:28 |
| Jo.Blade | en fait pour moi les containers c'est bien uniquement si tu as un orchestrateur comme k8s | 18:08:13 |
| Jo.Blade | mais c'est ultra compliqué et overkill pour du selfhost | 18:08:22 |
| raitobezarius | j'utilise les conteneurs quand le packaging est trop violent et que j'ai besoin du soft rapidement | 18:08:48 |
| raitobezarius | j'ai fait ça que 2 soft dans ma vie: onlyoffice et domjudge | 18:08:57 |
| raitobezarius | * j'ai fait ça que pour 2 soft dans ma vie: onlyoffice et domjudge | 18:09:01 |
| raitobezarius | onlyoffice est maintenant packagé | 18:09:07 |
| Jo.Blade | ouais aussi, c'est la raison pour laquelle j'ai docker sur mon desktop. Après sur mon serveur, comme c'est un pi 3 jsuis bien content de ne pas en avoir xD | 18:09:43 |
| Jo.Blade | mais aujourd'hui je ne fais quasi plus de python donc j'ai moins besoin 🤡 | 18:10:35 |
| raitobezarius | la seule raison pour laquelle j'ai docker sur mon desktop c'est que des gens ont des tests suites sous docker (genre openbao) du coup je dois les run sous docker mais tout mon dev je le fais avec nix-shell | 18:11:20 |
| Jo.Blade | et il y a flatpak aussi | 18:11:22 |
| raitobezarius | ça me rendrait fou de coder avec docker | 18:11:23 |
| Jo.Blade | ça me rend fou, surtout les gens qui font du dev web et qui rendent impossible de lancer le projet en local sans avoir 15 containers dockers | 18:12:20 |
