amélioration hydra + retour au paquet par défaut

tinc: ajout conf neo

Makefile

@@ -1,5 +1,8 @@
+GSF=git submodule foreach
+
 all: rebuild-switch
 	date
+##--------- Commandes spécifiques pour NixOS
 
 clean:
 	nix-collect-garbage -d --delete-older-than 15d
@@ -14,35 +17,60 @@ clean-log:
 	journalctl --vacuum-size=1G
 
 full-auto: submodules-update upgrade clean optimise
+	@date
 
 optimise:
 	nix-store --optimise
 
-push: submodules-push
-	git push --all
-	git push --tags
-
 rebuild-switch:
 	nixos-rebuild switch --fallback  --show-trace
 
 store-repair:
 	nix-store --verify --check-contents --repair
 
+upgrade:
+	nixos-rebuild switch --upgrade --fallback --show-trace
+
+##--------- Commandes spécifiques pour GIT
+
+push: submodules-push
+	git push --all
+	git push --tags
+
 submodules-update:
 	#git submodule update --remote
-	git submodule foreach git co master
-	git submodule foreach git ff
+	$(GSF) git co master
+	$(GSF) git ff
+	$(GSF) git gc --auto
 
 submodules-push:
-	git submodule foreach git push --all
-	git submodule foreach git push --tags
+	$(GSF) git push --all
+	$(GSF) git push --tags
 
 submodules-tag:
-	git submodule foreach git tag -f "$$(date +%F)-$$(hostname -s)"
+	$(GSF) git tag -f "$$(date +%F)-$$(hostname -s)"
+
+template:
+	find . -name "*.nix" -exec meld /etc/nixos/base/module-template.nix {} \;
 
 tag: submodules-tag
 	git tag -f "$$(date +%F)-$$(hostname -s)"
 
-upgrade:
-	nixos-rebuild switch --upgrade --fallback --show-trace
+##--------- Munin
+
+munin:
+	pushd /var/www/munin/ ; python -m SimpleHTTPServer 8000
+##--------- Gestion d'un système de fichier monté en mémoire
+
+tmpfs-create:
+	mkdir -p /mnt/tmpfs
+
+tmpfs-mount: tmpfs-create
+	mount -t tmpfs -o size=10G tmpfs /mnt/tmpfs
+
+tmpfs-umount:
+	umount /mnt/tmpfs
+
+tmpfs-destroy: tmpfs-umount
+	rmdir /mnt/tmpfs
 

README

@@ -1,11 +0,0 @@
-# nixos-template-base
-
-Ce dépôt stocke une configuration générique des machines.
-Une recette dite "config-generator" adapte la configuration selon le nom de la machine (FQDN).
-
-Actuellement, les scripts contiennent un peu de configuration spécifique pour les machines des mainteneurs.
-
-# Lien pour install sur machine distante
-
-* https://nixos.org/wiki/How_to_install_NixOS_from_Linux#Installing_through_a_chroot
-* https://github.com/NixOS/nixpkgs/issues/13305

README.md

@@ -0,0 +1,43 @@
+# nixos-template-base
+
+Version de nixos supportée : NixOs 16.09
+
+Ce dépôt stocke une configuration générique des machines.
+Une recette dite "config-generator" adapte la configuration selon le nom de la machine (FQDN).
+
+Actuellement, les scripts contiennent un peu de configuration spécifique pour les machines des mainteneurs.
+
+# Lien pour install sur machine distante
+
+* https://nixos.org/wiki/How_to_install_NixOS_from_Linux#Installing_through_a_chroot
+* https://github.com/NixOS/nixpkgs/issues/13305
+
+# Notes pour l'upgrade de 16.03 vers 16.09
+
+* mettre le dépôt base sur la branche upgrade-16.09
+* changer le channel nixos : ```nix-channel --add https://nixos.org/channels/nixos-16.09 nixos```
+* activer x11 dans le configuration.nix
+
+~~~
+services.xserver.enable = true;
+~~~
+
+* remplacer le bootloader si gummiboot était utilisé
+
+~~~
+boot.loader.gummiboot.enable = true;
+~~~
+
+devient
+
+~~~
+boot.loader.systemd-boot.enable = true;
+~~~
+
+Pour résoudre les soucis d'upgrade, il est conseillé :
+* de désactiver tous les imports (sauf `hardware.nix`)
+* d'ajouter `.../localisation.nix` dans les imports sous peine d'être en clavier US
+* d'ajouter ```nixpkgs.config.allowUnfree = true;```
+* d'ajouter `vim` aux paquets
+* de réactiver petit à petit les lignes désactivées
+

base.nix

@@ -1,4 +1,11 @@
-{ ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  #inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
 
 {
   imports = [

base/activation-manuelle/nix-serve-client.nix

@@ -1,24 +1,25 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf mkMerge;
-  profiles = config.r6d.profiles;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
-in {
-  nix = mkIf config.r6d.config-generator.nix-serve-client {
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.nix-serve-client {
+
+  nix = {
     # Cache http pour le store
     requireSignedBinaryCaches = false;
     binaryCaches =  [
-      ("https://cache.nixos.org/")
-      (mkIf (profiles.isDubronetwork && (! computers.isMonstre)) "http://192.168.10.169:5000")
-      (mkIf profiles.isDubronetwork "http://192.168.10.252:5000")
+      (mkIf (profiles.isDubronetwork && (! computers.isPedro) && (! computers.isRollo)) "http://nix-cache.dubronetwork.fr:5001")
 
-      (mkIf (profiles.isPrunetwork && !profiles.isServer) "http://192.168.1.20:5000")
+      (mkIf profiles.isPrunetwork "https://cache.nixos.org/")
+      (mkIf (profiles.isPrunetwork && !profiles.isServer) "http://nix-cache.dubronetwork.fr:5001")
     ];
     extraOptions = ''
-      connect-timeout = 5
+    connect-timeout = 5
     '';
-    };
-
-  }
+  };
+}

base/activation-manuelle/nix-serve-server.nix

@@ -1,12 +1,27 @@
-{ config, pkgs, ... }:
-
-with pkgs.lib;
+{ config, lib, pkgs, ... }:
 
 let
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
-in {
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.nix-serve-server {
+
   # Cache http pour le store
 
-  services.nix-serve.enable = cfg.nix-serve-server;
-  networking.firewall.allowedTCPPorts = mkIf cfg.nix-serve-server [ 5000 ];
+  # Services
+  services.nix-serve = {
+    enable = true;
+  };
+
+  # Réseau
+  networking.firewall = {
+    allowedTCPPorts = [
+      5000
+    ];
+    allowedUDPPorts = [
+    ];
+  };
 }

base/activation-manuelle/service-fail2ban.nix

@@ -1,17 +1,28 @@
-{ config, pkgs, ... }:
-
-with pkgs.lib;
+{ config, lib, pkgs, ... }:
 
 let
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
 
   ignoreip = "pedro.dubronetwork.fr cube.dubronetwork.fr voyage.prunetwork.fr xray.prunetwork.fr 192.168.0.0/16 172.16.0.0/16";
   destemail = "admins@dubronetwork.fr";
+in
+
+mkIf cfg.fail2ban {
 
-in {
   # Gestion de fail2ban
-  
-  services = mkIf cfg.fail2ban {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    mailutils
+    whois
+  ];
+
+
+  # Services
+  services = {
     fail2ban = {
       enable = true;
       jails = {
@@ -27,13 +38,27 @@ in {
           maxretry = 3
 
           destemail = ${destemail}
+
+          # https://github.com/Baughn/nixpkgs/blob/master/nixos/modules/services/security/fail2ban.nix
+          findtime = 600
+          maxretry = 3
+          backend  = systemd
+          enabled  = true
         '';
         ssh-route = ''
           filter   = sshd
           action   = route[blocktype=blackhole]
-          maxretry = 3
         '';
+        # désactivation car souci de PATH avec les commandes mail ou sendmail. Nécessite un path motifiable
+        # ticket à ouvrir
+        #ssh-mail = ''
+        #  filter   = sshd
+        #  action   = sendmail[sendername=Fail2ban @${config.networking.hostName}]
+        #'';
       };
     };
   };
+
+  # https://github.com/NixOS/nixpkgs/issues/8437
+  services.fail2ban.jails.ssh-iptables = "enabled = true";
 }

base/base.nix

@@ -1,4 +1,11 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  #inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
 
 {
   imports = [

base/network-dns.nix

@@ -1,6 +1,14 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
 
-{
   # Définition des domaines utilisés lorsque un identifiant non-FQDN est donné (ping, nslookup)
   networking = {
     search = [

config-generator.nix

@@ -1,6 +1,5 @@
 { config, lib, pkgs, ... }:
 
-# exemple utilisé pour commencer bird.nix
 let
   inherit (lib) mkEnableOption mkIf mkMerge mkOption singleton types;
   cfg = config.r6d.config-generator;
@@ -17,57 +16,83 @@ in
       #* Utilisé pour afecter des capacités aux machines
       r6d.profiles  = {
         # Domaine
-        isDubronetwork  = mkEnableOption "Pour distinguer les machines dubronetwork.";
-        isPrunetwork    = mkEnableOption "Pour distinguer les machines prunetwork.";
+        isDubronetwork        = mkEnableOption "Pour distinguer les machines dubronetwork.";
+        isPrunetwork          = mkEnableOption "Pour distinguer les machines prunetwork.";
         # Utilisation machine
-        isDesktop       = mkEnableOption "Pour indiquer une machine avec interface graphique.";
-        isHome          = mkEnableOption "Pour indiquer que la machine sert à la maison (divertissement & autre).";
-        isServer        = mkEnableOption "Pour indiquer qu'il s'agit d'un serveur.";
-        isWorkstation   = mkEnableOption "Pour indiquer que la machine sert à travailler.";
+        isDesktop             = mkEnableOption "Pour indiquer une machine avec interface graphique.";
+        isHome                = mkEnableOption "Pour indiquer que la machine sert à la maison (divertissement & autre).";
+        isServer              = mkEnableOption "Pour indiquer qu'il s'agit d'un serveur.";
+        isWorkstation         = mkEnableOption "Pour indiquer que la machine sert à travailler.";
       };
 
       #* Utilisé dans les fichiers .nix
       r6d.config-generator = {
-        enable          = mkEnableOption "Génération de la configuration d'une machine.";
-        awesome         = mkEnableOption "Profil pour activer le gestionnaire de fenêtre awesome.";
-        auto-upgrade    = mkEnableOption "Profil pour activer les mises à jour automatiques.";
-        cartographie    = mkEnableOption "Profil pour activer les outils de gestion de données géographiques.";
-        conception-assistee = mkEnableOption "Profil pour activer les outils de conception électronique & modélisation 3D";
-        database_postgres=mkEnableOption "Profil pour activer le SGBD PostgreSQL.";
-        developpement   = mkEnableOption "Profil pour activer les outils de développement";
-        docker          = mkEnableOption "Profil pour l'utilisation de Docker.";
-        dovecot         = mkEnableOption "Profil pour activer le serveur Dovecot.";
-        dns_autorite    = mkEnableOption "Profil pour servir les fichiers de zone DNS.";
-        dns_resolveur   = mkEnableOption "Profil pour activer un résolveur DNS local.";
-        edition-musique = mkEnableOption "Profil pour la création/édition de musique.";
-        edition-photo   = mkEnableOption "Profil pour la création/édition de photos.";
-        edition-video   = mkEnableOption "Profil pour la création/édition de video.";
-        fail2ban        = mkEnableOption "Profil pour activer Fail2ban.";
-        jeux            = mkEnableOption "Profil pour les jeux vidéos.";
-        laptop          = mkEnableOption "Profil pour les outils spécifiques aux ordinateurs portables..";
-        locate          = mkEnableOption "Profil pour activer la fonction locate.";
-        murmur          = mkEnableOption "Profil pour activer un serveur Mumble (murmur)";
-        nix-serve-client= mkEnableOption "Profil pour que la machine soit un client de cache nix.";
-        nix-serve-server= mkEnableOption "Profil pour que la machine soit un serveur de cache nix.";
-        online-ipv6     = mkEnableOption "Profil pour activer l'IPv6 de online.net";
-        print           = mkEnableOption "Profil pour activer cups & pouvoir imprimer.";
-        rabbitmq        = mkEnableOption "Profil pour activer le service de messagerie AMQP.";
-        swap            = mkEnableOption "Profil pour que le swap soit activé.";
-        virtualbox      = mkEnableOption "Profil pour l'utilisation de VirtualBox.";
-        xmonad          = mkEnableOption "Profil pour activer le gestionnaire de fenêtres xmonad.";
-        znc             = mkEnableOption "Profil pour activer le relais IRC ZNC.";
+        enable                = mkEnableOption "Génération de la configuration d'une machine.";
+        awesome               = mkEnableOption "Profil pour activer le gestionnaire de fenêtre awesome.";
+        auto-upgrade          = mkEnableOption "Profil pour activer les mises à jour automatiques.";
+        cartographie          = mkEnableOption "Profil pour activer les outils de gestion de données géographiques.";
+        conception-assistee   = mkEnableOption "Profil pour activer les outils de conception électronique & modélisation 3D";
+        database_postgres     = mkEnableOption "Profil pour activer le SGBD PostgreSQL.";
+        developpement         = mkEnableOption "Profil pour activer les outils de développement";
+        developpement-haskell = mkEnableOption "Profil pour activer les outils de développement Haskell";
+        developpement-java    = mkEnableOption "Profil pour activer les outils de développement Java";
+        developpement-rust    = mkEnableOption "Profil pour activer les outils de développement Rust";
+        docker                = mkEnableOption "Profil pour l'utilisation de Docker.";
+        dovecot               = mkEnableOption "Profil pour activer le serveur Dovecot.";
+        dns_autorite          = mkEnableOption "Profil pour servir les fichiers de zone DNS.";
+        dns_resolveur         = mkEnableOption "Profil pour activer un résolveur DNS local.";
+        edition-musique       = mkEnableOption "Profil pour la création/édition de musique.";
+        edition-photo         = mkEnableOption "Profil pour la création/édition de photos.";
+        edition-video         = mkEnableOption "Profil pour la création/édition de video.";
+        elasticsearch         = mkEnableOption "Profil pour activer le service elasticsearch.";
+        fail2ban              = mkEnableOption "Profil pour activer Fail2ban.";
+        hydra-builder         = mkEnableOption "Profil pour une machine qui compile pour hydra.";
+        hydra-core            = mkEnableOption "Profil pour un serveur hydra.";
+        kibana                = mkEnableOption "Profil pour activer le service kibana.";
+        jeux                  = mkEnableOption "Profil pour les jeux vidéos.";
+        laptop                = mkEnableOption "Profil pour les outils spécifiques aux ordinateurs portables..";
+        locate                = mkEnableOption "Profil pour activer la fonction locate.";
+        mailboxes             = mkEnableOption "Profil pour stocker les mails dans des boîtes aux lettres.";
+        murmur                = mkEnableOption "Profil pour activer un serveur Mumble (murmur)";
+        nix-serve-client      = mkEnableOption "Profil pour que la machine soit un client de cache nix.";
+        nix-serve-server      = mkEnableOption "Profil pour que la machine soit un serveur de cache nix.";
+        nixStoreProxyCache    = mkEnableOption "Profil pour activer le proxy cahce nginx pour le nix store";
+        print                 = mkEnableOption "Profil pour activer cups & pouvoir imprimer.";
+        rabbitmq              = mkEnableOption "Profil pour activer le service de messagerie AMQP.";
+        radicale              = mkEnableOption "Profil pour activer le service d'hébergement de calendrier + tâches & contacts.";
+        scanner               = mkEnableOption "Profil pour que les scanners soient utilisable.";
+        swap                  = mkEnableOption "Profil pour que le swap soit activé.";
+        virtualbox            = mkEnableOption "Profil pour l'utilisation de VirtualBox.";
+        xmonad                = mkEnableOption "Profil pour activer le gestionnaire de fenêtres xmonad.";
+        znc                   = mkEnableOption "Profil pour activer le relais IRC ZNC.";
+
+        tincAddress     = mkOption {
+          default = "";
+          example = "192.168.1.1";
+          description = "Adresse du noeud tinc local";
+          type = lib.types.string;
+        };
+        tincExtraConfig = mkOption {
+          default = "";
+          example = ''
+            Mode = router
+            ConnecTo = bar
+          '';
+          description = "Configuration supplémentaire pour tinc";
+          type = lib.types.string;
+        };
       };
       #* Utilisé pour avoir des raccourcis de machine
       r6d.computers = {
-        isLatitude      = mkEnableOption "Identification du nom de machine.";
-        isMonstre       = mkEnableOption "Identification du nom de machine.";
-        isNeoNomade     = mkEnableOption "Identification du nom de machine.";
-        isNomade        = mkEnableOption "Identification du nom de machine.";
-        isOcean         = mkEnableOption "Identification du nom de machine.";
-        isPhenom        = mkEnableOption "Identification du nom de machine.";
-        isRadx          = mkEnableOption "Identification du nom de machine.";
-        isRollo         = mkEnableOption "Identification du nom de machine.";
-        isXray          = mkEnableOption "Identification du nom de machine.";
+        isLatitude  = mkEnableOption "Identification du nom de machine.";
+        isMonstre   = mkEnableOption "Identification du nom de machine.";
+        isNeoNomade = mkEnableOption "Identification du nom de machine.";
+        isNomade    = mkEnableOption "Identification du nom de machine.";
+        isOcean     = mkEnableOption "Identification du nom de machine.";
+        isPedro     = mkEnableOption "Identification du nom de machine.";
+        isPhenom    = mkEnableOption "Identification du nom de machine.";
+        isRadx      = mkEnableOption "Identification du nom de machine.";
+        isRollo     = mkEnableOption "Identification du nom de machine.";
       };
     };
 
@@ -84,10 +109,10 @@ in
         isNeoNomade = host == "neo-nomade.dubronetwork.fr";
         isNomade    = host == "nomade.dubronetwork.fr";
         isOcean     = host == "ocean.prunetwork.fr";
+        isPedro     = host == "pedro.dubronetwork.fr";
         isPhenom    = host == "phenom.dubronetwork.fr";
         isRadx      = host == "radx.prunetwork.fr";
         isRollo     = host == "rollo.dubronetwork.fr";
-        isXray      = host == "xray.prunetwork.fr";
       };
     }
 
@@ -98,12 +123,13 @@ in
       r6d.config-generator = {
         awesome = true;
         nix-serve-client = true;
+        scanner = true;
       };
     })
     (mkIf pfl.isHome {
       r6d.profiles.isDesktop = true;
     })
-    (mkIf pfl.isServer {
+    (mkIf (pfl.isServer && !comp.isMonstre) {
       r6d.config-generator = {
         #database_postgres = true;
         dns_autorite = true;
@@ -115,7 +141,7 @@ in
       };
     })
     # /!\ PAS un serveur
-    (mkIf (!pfl.isServer) {
+    (mkIf (!pfl.isServer || comp.isMonstre) {
       r6d.config-generator = {
         dns_resolveur = true;
       };
@@ -124,13 +150,7 @@ in
       r6d.profiles.isDesktop = true;
 
       r6d.config-generator = {
-        cartographie = true;
-        developpement = true;
         docker = true;
-
-        edition-musique = true;
-        edition-photo = true;
-        edition-video = true;
       };
     })
 
@@ -138,18 +158,22 @@ in
     (mkIf pfl.isDubronetwork {
       r6d.config-generator = {
         auto-upgrade = true;
+        locate = true;
         print = true;
       };
     })
-    (mkIf (pfl.isDubronetwork && pfl.isHome) {
-      r6d.config-generator.jeux = true;
-    })
-    (mkIf (pfl.isDubronetwork && pfl.isServer) {
-      r6d.config-generator.nix-serve-server = true;
-    })
     (mkIf (pfl.isDubronetwork && pfl.isWorkstation) {
       r6d.config-generator = {
+        cartographie = true;
         conception-assistee = true;
+        docker = true;
+        developpement = true;
+        developpement-haskell = true;
+        developpement-java = true;
+        developpement-rust = true;
+        edition-musique = true;
+        edition-photo = true;
+        edition-video = true;
         virtualbox = true;
         xmonad = true;
       };
@@ -159,10 +183,26 @@ in
     (mkIf pfl.isPrunetwork {
       r6d.config-generator = {
         auto-upgrade = true;
+        docker = true;
+        locate = true;
         fail2ban = true;
         swap = true;
       };
     })
+    (mkIf (pfl.isPrunetwork && pfl.isWorkstation) {
+      r6d.config-generator = {
+        cartographie = true;
+        developpement = true;
+        developpement-haskell = true;
+        developpement-java = true;
+        #developpement-rust = true;
+        #edition-musique = true;
+        edition-photo = true;
+        #edition-video = true;
+        print = true;
+        virtualbox = true;
+      };
+    })
 
 
     ## Affectation des profils aux machines
@@ -174,25 +214,32 @@ in
 
       r6d.config-generator = {
         docker = true;
+        radicale = true;
+        tincAddress = "192.168.12.6/24";
+        tincExtraConfig = ''
+          ConnectTo = rollo_dubronetwork_fr
+          '';
       };
     })
     (mkIf comp.isRadx {
       r6d.profiles = {
         isHome = true;
         isPrunetwork = true;
-        isServer = true;
         isWorkstation = true;
       };
 
       r6d.config-generator = {
-        nix-serve-server = true;
-        virtualbox = true;
-      };
-    })
-    (mkIf comp.isXray {
-      r6d.profiles = {
-        isPrunetwork = true;
-        isServer = true;
+        elasticsearch = true;
+        hydra-builder = true;
+        hydra-core = true;
+        kibana = true;
+        rabbitmq = true;
+        tincAddress = "192.168.12.3/24";
+        tincExtraConfig = ''
+          ConnectTo = monstre_dubronetwork_fr
+          ConnectTo = rollo_dubronetwork_fr
+          ConnectTo = ocean_prunetwork_fr
+          '';
       };
     })
 
@@ -205,6 +252,12 @@ in
 
       r6d.config-generator = {
         laptop = true;
+        tincAddress = "192.168.12.2/24";
+        tincExtraConfig = ''
+          ConnectTo = monstre_dubronetwork_fr
+          ConnectTo = rollo_dubronetwork_fr
+          ConnectTo = ocean_prunetwork_fr
+          '';
       };
     })
     (mkIf comp.isMonstre {
@@ -213,7 +266,16 @@ in
         isServer = true;
       };
 
-      r6d.config-generator.fail2ban = true;
+      r6d.config-generator = {
+        fail2ban = true;
+        nix-serve-client = true;
+        nixStoreProxyCache = true;
+        tincAddress = "192.168.12.4/24";
+        tincExtraConfig = ''
+          ConnectTo = rollo_dubronetwork_fr
+          ConnectTo = ocean_prunetwork_fr
+          '';
+      };
     })
     (mkIf comp.isNeoNomade{
       r6d.profiles = {
@@ -223,6 +285,12 @@ in
 
       r6d.config-generator = {
         laptop = true;
+        tincAddress = "192.168.12.7/24";
+        tincExtraConfig = ''
+          ConnectTo = monstre_dubronetwork_fr
+          ConnectTo = rollo_dubronetwork_fr
+          ConnectTo = ocean_prunetwork_fr
+          '';
       };
     })
     (mkIf comp.isNomade{
@@ -232,6 +300,16 @@ in
         laptop = true;
       };
     })
+    (mkIf comp.isPedro {
+      r6d.profiles = {
+        isDubronetwork = true;
+        isServer = true;
+      };
+
+      r6d.config-generator = {
+        fail2ban = true;
+      };
+    })
     (mkIf comp.isPhenom {
       r6d.profiles = {
         isDubronetwork = true;
@@ -241,6 +319,13 @@ in
 
       r6d.config-generator = {
         nix-serve-server = true;
+        edition-photo = true;
+        tincAddress = "192.168.12.1/24";
+        tincExtraConfig = ''
+          ConnectTo = monstre_dubronetwork_fr
+          ConnectTo = rollo_dubronetwork_fr
+          ConnectTo = ocean_prunetwork_fr
+          '';
       };
     })
     (mkIf comp.isRollo {
@@ -252,8 +337,12 @@ in
       r6d.config-generator = {
         dovecot = true;
         fail2ban = true;
+        mailboxes = true;
         murmur = true;
-        online-ipv6 = true;
+        tincAddress = "192.168.12.5/24";
+        tincExtraConfig = ''
+          ConnectTo = ocean_prunetwork_fr
+          '';
         znc = true;
       };
     })

desktop/activation-manuelle/xmonad/xmonad.nix

@@ -1,19 +1,21 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
+in
 
-in  mkIf cfg.xmonad {
-  # Paquets spécifiques pour xmonad
+mkIf cfg.xmonad {
 
-  environment.systemPackages = with pkgs;[
+  # Paquets
+  environment.systemPackages = with pkgs; [
     dmenu
     haskellPackages.xmobar
   ];
 
+  # Services
   services.xserver.windowManager.xmonad = {
     enable = true;
     enableContribAndExtras = true;

desktop/desktop.nix

@@ -1,10 +1,10 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
 let
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
-  mkIf = pkgs.lib.mkIf;
+  mkIf = lib.mkIf;
 in
 
 {
@@ -13,6 +13,7 @@ in
     ./activation-manuelle/xmonad/xmonad.nix      # gestionnaire de fenêtres xmonad
   ];
 
+  # Paquets
   environment.systemPackages = with pkgs; mkIf profiles.isDesktop [
     # Environement de bureau
     arandr          # interface graphique pour xrandr
@@ -54,4 +55,6 @@ in
     clawsMail = pkgs.clawsMail.override { enablePluginFancy = true; };
     mumble = pkgs.mumble.override { pulseSupport = true; };
   };
+
+  security.setuidPrograms = [ "udevil" ];
 }

module-template.nix

@@ -0,0 +1,25 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Services
+
+  # Réseau
+  networking.firewall = {
+    allowedTCPPorts = [
+    ];
+    allowedUDPPorts = [
+    ];
+  };
+}

public/app-adminsys.nix

@@ -1,14 +1,15 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
 
-mkIf profiles.isDesktop {
+mkIf true {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Adminsys
     iotop
@@ -22,22 +23,35 @@ mkIf profiles.isDesktop {
     python27Packages.glances
     usbutils
 
-    # DNS
-    unbound
+    # Backup
+    duplicity     # création de sauvegarde chiffrées (GPG)
 
     # Compression
     lz4
     lzop
 
     # Système de fichier
-    curlftpfs
-    gparted
-    inotify-tools
-    nfs-utils
-    ntfs3g
-    sshfsFuse
+    ## Montage de filesystem
+    curlftpfs     # ftp
+    exfat         # Pour monter les FAT avec Fuse
+    hubicfuse     # montage hubic
+    ntfs3g        # ntfs
+    sshfsFuse     # ssh
 
-    #
-    unetbootin    # création de clefs USB bootables
+    ## Gestion de FS
+    nfs-utils
+
+    ## Exploitation FS
+    inotify-tools # être notifié lorsque le contenu d'un répertoire change
+    duff          # outil de recherche de fichiers en doublons
+    rdfind        # recherche de fichiers doublons pour remplacement par hard/soft link
+
+    (mkIf profiles.isDesktop
+      ## Gestion de FS
+      gparted       # Gestion graphique de partitions
+    )
+    (mkIf profiles.isDesktop
+      unetbootin    # création de clefs USB bootables
+    )
   ];
 }

public/app-awesome.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;

public/app-bureautique.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,22 +9,27 @@ in
 
 mkIf profiles.isDesktop {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Bureautique
-    aspell aspellDicts.fr
-    dia
-    gnumeric
+    aspell aspellDicts.fr # correction d'ortographe
+    gnumeric      # tableur
+    #kde4.ksnapshot# réalisation de capture d'écran
 
     ## Cartes mentales
     freemind
 
+    ## Diagrammes & Schémas
+    dia           # dessin & schéma technique
+
     ## Editeur de texte
-    lyx           # surcouche WISIWIM à LaTeX
+    #lyx          # surcouche WISIWIM à LaTeX
+    #focuswriter  # outil pour l'écriture
     textadept     # un éditeur de texte facile pour copier-coller graphique
-    zim           # outil de prise de notes, wiki de bureau
+    #zim          # outil de prise de notes, wiki de bureau
 
     ## Visionneuse
-    kde5.okular   # pdf
+    #kde5.okular   # pdf
     mcomix        # livres (cbr, liste d'images), gestion d'une bibliothèque
     pdfpc         # pdf
     qpdfview      # pdf
@@ -33,9 +38,11 @@ mkIf profiles.isDesktop {
     ## Convertisseurs (texte -> <autre format>)
     gnuplot       # générateur de graphes à partir de données numériques
     graphviz      # dot, neato : traçage de graphes (carré, rond)
-    jekyll        # générateur statique de site web
+    #jekyll       # générateur statique de site web
+    #odpdown      # conversion md -> presentation ODP : https://github.com/thorstenb/odpdown
     pandoc
-    texLiveFull   # distribution LaTeX
+    haskellPackages.pandoc-citeproc
+    texlive.combined.scheme-full # distribution LaTeX
     #texLive       # distribution LaTeX de base
     #texLiveBeamer # paquets et extensions pour Beamer
     #texLiveModerncv # paquets pour la classe Modern CV

public/app-cao.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,7 +9,8 @@ in
 
 mkIf cfg.conception-assistee {
 
-environment.systemPackages = with pkgs; [
+  # Paquets
+  environment.systemPackages = with pkgs; [
     # CAO
     ## Modélisation 3D
     freecad   # modélisation de pièces en 3D

public/app-cartographie.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,12 +9,13 @@ in
 
 mkIf cfg.cartographie {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Gestion de données géographiques
     expat         
     gpsbabel      # pour convettir les données des GPS
     josm          # outil de contribution à OpenStreetMap
-    qgis          # client lourd de manipulation de données géographiques
+    #qgis         # client lourd de manipulation de données géographiques
     viking        # analyse de topo, gestion de données GPS
   ];
 }

public/app-client-internet.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf profiles.isDesktop {
 
+# Paquets
 environment.systemPackages = with pkgs; [
     # Clients Internet
 
@@ -24,7 +25,7 @@ environment.systemPackages = with pkgs; [
     ## Mail & Discussion (texte, audio)
     clawsMail
     hexchat
-    kde5.quasselClient
+    quasselClient
     mumble
     mutt
     pidgin

public/app-developpement-haskell.nix

@@ -0,0 +1,23 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.developpement-haskell {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    # Haskell
+    cabal-install         # fournis cabal
+    cabal2nix             # convertir les .cabal en .nix
+    ghc                   # pour les appels depuis les scripts
+    stack                 # pour les paquets en LTS de stackage
+
+    # Application perso
+    haskellPackages.hahp
+  ];
+}

public/app-developpement-java.nix

@@ -0,0 +1,20 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.developpement-java {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    # IDE
+    idea.idea-community # IntelliJ IDEA
+
+    # Java
+    maven
+  ];
+}

public/app-developpement-rust.nix

@@ -0,0 +1,18 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.developpement-rust {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    # Rust
+    cargo               # récupération des dépendances + compilation projet rust
+    rustc               # pour les appels depuis les scripts
+  ];
+}

public/app-developpement.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,36 +9,34 @@ in
 
 mkIf cfg.developpement {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Base de données
-    pgadmin
-    sqlitebrowser
+    pgadmin             # interface d'administration de postgres
+    sqlitebrowser       # interface d'administration de sqlite
 
-    # Développement
-    cloc
-    idea.idea-community
-    gcc           # pour les appels depuis les scripts
+    # C / C++
+    gcc                 # pour les appels depuis les scripts
 
     # Documentation
-    zeal
+    #zeal                # consulter la documentation hors ligne
 
-    ## Gestion des sources
-    # git       # déjà présent dans "base"
-    git-cola
+    # Gestion des sources
+    cloc                # outil pour compter les lignes de code source
+    git                 # déjà présent dans "base"
+    gitg                # interface pour utiliser git (historique, commit)
+    gitstats            # génère un site web statique avec des statistiques
+    gitAndTools.gitFull # pour gitk
+    git-cola            # interface pour utiliser git (historique, commit)
     mercurial
     subversion
 
-    ## Haskell
-    ghc
-    stack
-
-    ## Rust
-    cargo       # récupération des dépendances + compilation projet rust
-    rustPlatform.rustc
+    # Mono
+    #mono46              # interpréteur .NET
 
     ## Visualisation & outils de diff
-    gource
-    meld
-    vbindiff    # diff de fichier hexadecimaux avec vim
+    #gource              # visualisation en mouvement de l'historique git
+    meld                # outil de comparaison graphique
+    #vbindiff           # diff de fichier hexadecimaux avec vim
   ];
 }

public/app-docker.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf cfg.docker {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Ecosystème Docker
     docker

public/app-edition-musique.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,7 +9,8 @@ in
 
 mkIf cfg.edition-musique {
 
-environment.systemPackages = with pkgs; [
+  # Paquets
+  environment.systemPackages = with pkgs; [
     #
     audacity      # montage audio
     easytag       # gestion des métadonnées des fichiers musicaux

public/app-edition-photo.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf cfg.edition-photo {
 
+  # Paquets
 environment.systemPackages = with pkgs; [
     # Méta données
     exif
@@ -18,7 +19,7 @@ environment.systemPackages = with pkgs; [
     gimp          # logiciel d'édition/montage/retouche photo
     inkscape      # édition d'image vectorielle (svg & autre)
     imagemagick   # modification image en CLI
-    rawtherapee   # développemen de photos en RAW
+    #rawtherapee  # développemen de photos en RAW
 
     # TEST d'outil de gestion de catalogue de photos
     kde4.digikam  # gestionnaire de bibliothèque de photo

public/app-edition-video.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,7 +9,8 @@ in
 
 mkIf cfg.edition-video {
 
-environment.systemPackages = with pkgs; [
+  # Paquets
+  environment.systemPackages = with pkgs; [
     # Vidéo
     #cinelerra     # editeur video
     pitivi        # montage vidéo

public/app-jeux.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf cfg.jeux {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Jeux
     urbanterror

public/app-multimedia.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf profiles.isDesktop {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Multimedia
 
@@ -23,7 +24,5 @@ mkIf profiles.isDesktop {
     ## Video
     smplayer      # lecteur vidéo
     vlc           # lecteur vidéo
-
-    kde4.ksnapshot# réalisation de capture d'écran
   ];
 }

public/app-network.nix

@@ -7,8 +7,10 @@ let
   profiles = config.r6d.profiles;
 in
 
-mkIf profiles.isDesktop {
+mkIf true {
+#mkIf profiles.isDesktop {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Outils réseau
     iperf         # outil de mesure de la qualité du réseau
@@ -18,12 +20,18 @@ mkIf profiles.isDesktop {
 
     ## Diagnostic
     arp-scan
-    wireshark
+    nmap          # outil de scan de port réseau
+    mtr           # outil de diagnostic réseau
+    #wireshark
     whois
   ];
 
   networking.firewall = {
-    allowedTCPPorts = [5201]; # iperf
-    allowedUDPPorts = [5201]; # iperf
+    allowedTCPPorts = [
+      5201 # iperf
+    ];
+    allowedUDPPorts = [
+      5201 # iperf
+    ];
   };
 }

public/app-securite.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,12 +9,14 @@ in
 
 mkIf profiles.isDesktop {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     # Securité
     gnome3.seahorse # gestionnaire graphique de clef GPG
     pass            # gestionnaire de mots de passe
     pwgen           # générateur de mots de passe
     slock           # vérouiller l''écran. "cannot disable the out-of-memory killer for this process (make sure to suid or sgid slock)" --> en root
-    yubikey-personalization-gui # utilisation de la clef Yubikey
+    #yubikey-personalization-gui # utilisation de la clef Yubikey
   ];
+  security.setuidPrograms = [ "slock" ];
 }

public/app-virtualbox.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,10 +9,19 @@ in
 
 mkIf cfg.virtualbox {
 
+  # Paquets
   environment.systemPackages = with pkgs; [
     linuxPackages.virtualbox
     linuxPackages.virtualboxGuestAdditions
   ];
 
+  # À décommenter pour activer le pack d'extension
+  #boot.kernelPackages = pkgs.linuxPackages // {
+  #  virtualbox = pkgs.linuxPackages.virtualbox.override {
+  #    enableExtensionPack = true;
+  #    pulseSupport = true;
+  #  };
+  #};
+
   virtualisation.virtualbox.host.enable = true;
 }

public/auto-upgrade.nix

@@ -1,13 +1,14 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
 
 mkIf cfg.auto-upgrade {
+
   # Automatic update & automatic clean
 
   system.autoUpgrade.enable = true;

public/environment.nix

@@ -1,39 +1,54 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
 
 {
   # Nombre de process d'installation en parrallèle effectués par Nix
   nix.buildCores = 0;
 
   # The NixOS release to be compatible with for stateful data such as databases.
-  system.stateVersion = "16.03";
+  system.stateVersion = "16.09";
+
+  #  copies the NixOS configuration file (usually /etc/nixos/configuration.nix) and links it from the resulting system (getting to /run/current-system/configuration.nix)
+  system.copySystemConfiguration = true;
 
   # On autorise les paquets non-libres
   nixpkgs.config.allowUnfree = true;
 
-  # List packages installed in system profile. To search by name, run:
-  # $ nix-env -qaP | grep wget
+  # Lancement de dbus pour les utilisateurs
+  services.dbus.socketActivated = true;
+
+  # NixOS Hardening
+  #security.grsecurity.enable = true;
+
+  # Paquets
   environment = {
     systemPackages = with pkgs; [
       bind          # utilisé pour les utilitaires comme dig
       byobu         # permet de se déconnecter d'un terminal sans l'aréter
-      exfat         # Pour monter les FAT avec Fuse
       git gitAndTools.gitSVN gitAndTools.tig gti # outil de gestion de version
       gnumake       # pour décrire les recettes de compilation
       gnupg         # GPG
       gpm           # prise en charge de la souris en console
       htop          # monitoring
+      lsb-release   # pour les scripts qui utilisent cet outil
       #libressl      # librairie pour faire du TLS et les algorithmes de crypto par OpenBSD
       ncdu          # outil pour voir l'espace utilisé
-      nmap          # outil de scan de port réseau
-      mtr           # outil de diagnostic réseau
       par2cmdline   # outil de récupération de fichiers corrompus - .par2
       p7zip         # compression de fichier
       parted        # partitionnement de disque
       pciutils
+      pinentry      # pour taper les mots de passe gpg
+      psmisc        # fournis les utilitaires comme killall, fuser, pstree
       python        # python -- python -m SimpleHTTPServer 8000
       python34Packages.glances # monitoring
       pwgen         # générateur de mot de passe
-      rtorrent      # outil de téléchargement de torrent & magnet
+      rtorrent      # TODO outil de téléchargement de torrent & magnet
       tmux          # nécessaire pour byobu
       tree          # affiche une arborescence de fichiers et dossiers
       usbutils
@@ -43,15 +58,23 @@
     ];
     shellAliases = {
       byobu = "byobu-tmux";
+      gpg = "gpg2";
+      jacques-a-dit = "sudo";
       tree = "tree -C";
       tree1 = "tree -d -L 1";
       tree2 = "tree -d -L 2";
       tree3 = "tree -d -L 3";
+      # https://gist.github.com/amitchhajer/4461043 : Count number of code lines in git repository per user
+      #git-loc = "git ls-files | while read f; do git blame --line-porcelain "${f}" | grep '^author '; done | sort -f | uniq -ic | sort -n";
       grep = "grep --color=auto";
       vi = "vim";
     };
     etc.gitconfig.text = builtins.readFile ./gitconfig;
   };
+  # programmes qui n'ont pas besoin de sudo pour fonctionner
+  security.setuidPrograms = [
+    "mtr"
+  ];
   programs.bash = {
     enableCompletion = true;
     promptInit = builtins.readFile ./bash-prompt.sh;

public/hardware-scanner.nix

@@ -0,0 +1,27 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.scanner {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    simple-scan
+  ];
+
+  # Services
+  hardware.sane.enable = true;
+
+  # Réseau
+  networking.firewall = {
+    allowedTCPPorts = [
+    ];
+    allowedUDPPorts = [
+    ];
+  };
+}

public/laptop.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -19,7 +19,9 @@ mkIf cfg.laptop {
 
   hardware.bluetooth.enable = true;
 
+  # Paquets
   environment.systemPackages = with pkgs; [
-    networkmanagerapplet
+    networkmanagerapplet    # gestionnaire réseau graphique + console (nm-applet + nmtui)
+    wirelesstools           # fournis iwconfig
   ];
 }

public/localisation.nix

@@ -1,6 +1,14 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
 
-{
   # Select internationalisation properties.
   i18n = {
     consoleFont = "Lat2-Terminus16";

public/network-ipv6.nix

@@ -1,6 +1,14 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
 
-{
   # Utilisation d'adresse IPv6 temporaire
   
   ## https://blog.linitx.com/control-privacy-addressing-ipv6-linux/
@@ -14,5 +22,8 @@
     "net.ipv6.conf.default.temp_prefered_lft" = 3600; # 1 heure
     "net.ipv6.conf.default.temp_valid_lft" = 3600; # 1 heure
     "net.ipv6.conf.default.use_tempaddr" = 2; # activé
-    };
+
+    "net.ipv6.conf.all.forwarding" = true;
+    "net.ipv6.conf.default.forwarding" = true;
+  };
 }

public/network.nix

@@ -0,0 +1,23 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # fix: Hostname -s renvoie "Unknown host" alors que hostname renvoie la bonne valeur
+  #      Il s'avère que hostname vérifie la validité du FQDN et du reverse.
+  #      Fixer ces paramètres dans les hosts permet de faire tomber en marche
+  networking.extraHosts = ''                                                                                                                                                                                                                                                 
+    127.0.0.1   ${config.networking.hostName}                                                                                                                                                                                                                             
+  '';
+
+  boot.kernel.sysctl = {
+    "net.ipv4.conf.all.forwarding" = true;
+    "net.ipv4.conf.default.forwarding" = true;
+  };
+}

public/print.nix

@@ -1,14 +1,16 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
 
 mkIf cfg.print {
-  # Enable CUPS to print documents.
+
+  # Services
+  ## Enable CUPS to print documents.
   services.printing = {
     enable = true;
     drivers = [

public/public.nix

@@ -1,42 +1,60 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
+
+let
+  #inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
 
 {
   imports = [
     # installées systématiquement
     ./environment.nix
     ./localisation.nix
-    ./network-ipv6.nix
+    ./network.nix
+    #./network-ipv6.nix
+    ./sudo.nix
     ./service-haveged.nix
     ./service-monitoring.nix
     ./service-ssh.nix
+    ./udev.nix
 
     # commandées par config-generator
     ## option de configuration spécifique
-    ./app-awesome.nix           # pour les profils awesome
-    ./app-cao.nix               # de conception assisté par ordinateur & modélisation
-    ./app-cartographie.nix      # utilisée pour manipuler les données géographiques & cartes
-    ./app-developpement.nix     # utilisée pour développer des programmes/scripts
-    ./app-docker.nix            # pour activer docker
-    ./app-edition-musique.nix   # pour modifier les fichiers musicaux
-    ./app-edition-photo.nix     # pour modifier les photos & assimilé
-    ./app-edition-video.nix     # pour modifier les vidéos
-    ./app-jeux.nix              # permettant de jouer ;)
-    ./app-virtualbox.nix        # pour exploiter virtualbox
-    ./auto-upgrade.nix          # mise à jour automatique du système
-    ./laptop.nix                # appli & configuration adaptée pour un PC portable
-    ./print.nix                 # configuration de base de cups
-    ./service-laptop.nix        # services spécifiques aux pc portables
-    ./service-locate.nix        # service locate
-    ./swap.nix                  # définition de l'utilisation du swap
+    ./app-awesome.nix               # pour les profils awesome
+    ./app-cao.nix                   # de conception assisté par ordinateur & modélisation
+    ./app-cartographie.nix          # manipuler les données géographiques & cartes
+    ./app-developpement.nix         # développer des programmes/scripts
+    ./app-developpement-haskell.nix # développer en haskell
+    ./app-developpement-java.nix    # développer en java
+    ./app-developpement-rust.nix    # développer en rust
+    ./app-docker.nix                # activer docker
+    ./app-edition-musique.nix       # modifier les fichiers musicaux
+    ./app-edition-photo.nix         # modifier les photos & assimilé
+    ./app-edition-video.nix         # modifier les vidéos
+    ./app-jeux.nix                  # jouer, tout simplement ;)
+    ./app-virtualbox.nix            # activer virtualbox
+    ./auto-upgrade.nix              # mise à jour automatique du système
+    ./laptop.nix                    # appli & configuration adaptée pour un PC portable
+    ./print.nix                     # configuration de base de cups
+    ./service-elasticsearch.nix     # service de stockage et recher de données
+    ./service-hydra-build.nix       # service de construction de paquet. -> la machine compile des paquets
+    ./service-hydra-core.nix        # service pour l'instance d'hydra
+    ./service-kibana.nix            # service de visualisation de données stockées dans elasticsearch
+    ./service-laptop.nix            # services spécifiques aux pc portables
+    ./service-locate.nix            # service locate
+    ./swap.nix                      # définition de l'utilisation du swap
 
     ## if isDesktop
-    ./app-adminsys.nix          # pour gérer le système dans son ensemble et les services
-    ./app-bureautique.nix       # dédiée à la bureautique (traitement de texte, dessin, ...)
-    ./app-client-internet.nix   # pour accéder & utiliser des ressources par le réseau
-    ./app-multimedia.nix        # pour gérer le son, l'image et la vidéo
-    ./app-network.nix           # de gestion, de diagnostique & surveillance réseau
-    ./app-securite.nix          # relatives à la sécurité (chiffrement, gpg, mots de passe, ...)
-    ./service-pulseaudio.nix    # activation du serveur audio
-    ./service-x11.nix           # activation du serveur graphique X
+    ./app-adminsys.nix              # pour gérer le système dans son ensemble et les services
+    ./app-bureautique.nix           # dédiée à la bureautique (traitement de texte, dessin, ...)
+    ./app-client-internet.nix       # pour accéder & utiliser des ressources par le réseau
+    ./app-multimedia.nix            # pour gérer le son, l'image et la vidéo
+    ./app-network.nix               # de gestion, de diagnostique & surveillance réseau
+    ./app-securite.nix              # relatives à la sécurité (chiffrement, gpg, mots de passe, ...)
+    ./hardware-scanner.nix          # utilisation d'un scanner
+    ./service-pulseaudio.nix        # activation du serveur audio
+    ./service-x11.nix               # activation du serveur graphique X
   ];
 }

public/service-elasticsearch.nix

@@ -0,0 +1,34 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.elasticsearch {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Services
+
+  ## E : http://localhost:9200/_cat/indices?v
+  services.elasticsearch = {
+    enable = true;
+    port = 9200;
+    listenAddress = "127.0.0.1";
+    #listenAddress = "_site_";
+  };
+
+  # Réseau
+  # -> Aucun port n'est ouvert caril est recommandé de mettre un proxy HTTP devant
+  networking.firewall = {
+    allowedTCPPorts = [
+    ];
+    allowedUDPPorts = [
+    ];
+  };
+}

public/service-haveged.nix

@@ -1,7 +1,16 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
-{
-  # Sécurité & Acces distant
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # Sécurité & Accès distant
+  # Services
 
   ## Augmentation de l'entropie du système par un générateur de nombres aléatoires
   ## cat /proc/sys/kernel/random/entropy_avail

public/service-hydra-build.nix

@@ -0,0 +1,45 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.hydra-builder {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    qemu
+    kvm
+  ];
+
+  # Services
+
+  ## Services de virtualisation utilisé pour les tests hydra
+  virtualisation.docker.enable = true;
+  virtualisation.libvirtd.enable = true;
+  virtualisation.libvirtd.enableKVM = true;
+  #virtualisation.virtualbox.guest.enable = true;
+  virtualisation.virtualbox.host.enable = true;
+  virtualisation.virtualbox.host.headless = true;
+
+  ## Ménage automatique tous les jours
+  nix.gc.automatic = true;
+
+  users.users."hydrabld" = {
+    description = "Execution des jobs hydra";
+    group = "nixbld";
+    extraGroups = [
+      "docker"
+      "nixbld"
+      "vboxusers"
+    ];
+    isNormalUser = true;  # devrait être à false: TODO débugger la conf ssh & users pour que ça marche en user système
+
+    openssh.authorizedKeys.keys = [
+      "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGYpjcWJCf8dXpv2LmoIaNVbwZXEC50QUU6Az+lqeD89 hydra radx"
+    ];
+  };
+}

public/service-hydra-core.nix

@@ -0,0 +1,91 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+
+
+  #### https://github.com/NixOS/hydra/issues/413
+  # Note that we use 'import <nixpkgs> {}' instead of 'pkgs'.
+  # If we use the latter we get an infinite recursion
+  # because we include hydra-src in the module imports below which in turn defines the 'pkgs' value.
+  hydra-src = (import <nixpkgs> {}).fetchgit {
+    url = "https://github.com/NixOS/hydra.git";
+    rev = "de55303197d997c4fc5503b52b1321ae9528583d";
+    sha256 = "0nimqsbpjxfwha6d5gp6a7jh50i83z1llmx30da4bscsic8z1xly";
+  };
+
+  hydra-src-pkg = lib.mkDefault ((import (hydra-src + /release.nix) {}).build.x86_64-linux);
+
+  # information pour l'état de hydra :
+  # hydra-queue-runner --status | json_pp
+in
+mkIf cfg.hydra-core {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Documentation HYDRA
+
+  ## Installation
+
+  # 1. créer clef SSH :
+  #	ssh-keygen -C "hydra@pedro.dubronetwork.fr" -N "" -f /etc/nixos/id_buildfarm
+  # 2. récupérer la clef publique du serveur ssh + l'ajouter dans les `knownHosts` :
+  #	ssh-keyscan localhost
+  # 3. créer un utilisateur pour gérer hydra
+  #	su - hydra
+  #	hydra-create-user jpierre03 --password xxx --role 'admin'
+  # 4. relancer hydra
+  # 5. ajouter un vhost à nginx
+  # 6. relancer nginx
+  # 7. le service accessible à hydra.<nom de machine>
+
+  ## Tutoriel
+  # * https://github.com/peti/hydra-tutorial
+
+  # Services
+
+  ## Hydra
+
+  services.hydra = {
+    enable = true;
+    hydraURL = "http://hydra.${config.networking.hostName}";
+    notificationSender = "hydra@${config.networking.hostName}";
+    listenHost = "localhost";
+    minimumDiskFree = 50; # Go
+    smtpHost = "localhost";
+    package = hydra-src-pkg ;
+  };
+
+  systemd.services.hydra-evaluator = {
+    path = [ pkgs.nettools config.services.hydra.package ];
+  };
+
+  ## Ménage
+  #nix.gc.automatic = true;
+
+  ## Délégation des actions de compilation à la ferme de compilation
+
+  ### Machines connues
+
+  programs.ssh.knownHosts = {
+    "monstre.dubronetwork.fr".publicKey = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBTTrLhq1Cwm0rpnwEIxSLqVrJWZnt+/9dt+SKd8NiIc";
+    "pedro.dubronetwork.fr".publicKey   = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIM7fjo2ysLqlfSo6BKnc6I6m1ayoPrbwEEyTKZmUzsOD";
+    "ocean.prunetwork.fr".publicKey     = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINCaRuTl8iCTUE4XInOpkSlwQj5Re4w4Iq+gNIlJe8pA";
+    "radx.prunetwork.fr".publicKey      = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGyoXdTEnxSgZTMfRfVH+bpOGZJtJpydAijcRGsZik7U";
+    "rollo.dubronetwork.fr".publicKey   = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAID4lWgS/sVdcZvnAAN+lBSOcCL9ISdAUsjp1kh9lalNu";
+  };
+
+  ### La liste des machines utilisées
+  nix = {
+    distributedBuilds = false;
+    buildMachines = [
+    #      { hostName = "pedro.dubronetwork.fr"; maxJobs = 5; speedFactor = 10; sshKey = "/etc/nixos/id_buildfarm"; sshUser = "root"; system = "x86_64-linux"; }
+    ];
+    extraOptions = "auto-optimise-store = true";
+  };
+}

public/service-kibana.nix

@@ -0,0 +1,33 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.kibana {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Services
+
+  # K : http://localhost:8000
+  services.kibana = {
+    enable = true;
+    elasticsearch.url = "http://127.0.0.1:9200";
+    port = 8000;
+  };
+
+  # Réseau
+  # -> Aucun port n'est ouvert caril est recommandé de mettre un proxy HTTP devant
+  networking.firewall = {
+    allowedTCPPorts = [
+    ];
+    allowedUDPPorts = [
+    ];
+  };
+}

public/service-laptop.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -11,6 +11,7 @@ mkIf cfg.laptop {
 
   # Gestion spécifique pour PC portable
 
+  # Services
   services.xserver.synaptics = {
     enable = true;
     twoFingerScroll = true;

public/service-locate.nix

@@ -1,7 +1,7 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
@@ -9,6 +9,7 @@ in
 
 mkIf cfg.locate {
 
+  # Services
   services.locate = {
     enable = true;
     interval = "hourly";

public/service-monitoring.nix

@@ -1,14 +1,27 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
-{
-  # Monitoring
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
 
-  # Noeud de supervision munin = pas de stockage des données locales
+mkIf true {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+    mailutils
+  ];
+
+  # Services
+
+  ## Noeud de supervision munin = pas de stockage des données locales
   services.munin-node = {
     enable = true;
   };
 
-  # Munin server -- generate /var/www/munin
+  ## Munin server -- generate /var/www/munin
   services.munin-cron = {
     enable = true;
     hosts = ''
@@ -20,12 +33,12 @@
     '';
   };
 
-  networking.firewall.allowedTCPPorts = [
-    # TODO configurer les bon ports lors de l'ouverture du service
-    8000
-  ];
-
-   ## Documentation
-   # * https://nixos.org/wiki/Create_and_debug_nix_packages
-   # * http://chriswarbo.net/essays/nixos/developing_on_nixos.html
+  # Réseau
+  networking.firewall = {
+    allowedTCPPorts = [
+      8000
+    ];
+    allowedUDPPorts = [
+    ];
+  };
 }

public/service-pulseaudio.nix

@@ -1,15 +1,16 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
 let
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
-  mkIf = pkgs.lib.mkIf;
 in
 
-{
+mkIf profiles.isDesktop {
+
   # Pulse Audio
-  hardware.pulseaudio = mkIf profiles.isDesktop {
+  hardware.pulseaudio = {
     enable = true;
     support32Bit = true;
   };

public/service-ssh.nix

@@ -1,10 +1,20 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
-{
-  # OpenSSH daemon
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # Services
+  ## OpenSSH daemon
   services.openssh = {
     enable = true;
     # https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern_.28OpenSSH_6.7.2B.29
+    # http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
     extraConfig = ''
       KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
       Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

public/service-x11.nix

@@ -1,22 +1,22 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
 let
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
-  mkIf = pkgs.lib.mkIf;
 in
 
-{
+mkIf profiles.isDesktop {
+
+  # Services
   # Enable the X11 windowing system.
-  services.xserver = mkIf profiles.isDesktop {
-    enable = true;
+  services.xserver = {
+    #enable = true;
     layout = "fr";
     xkbOptions = "eurosign:e";
     displayManager.lightdm.enable = true;
     windowManager.awesome.enable = true;
-    startGnuPGAgent = true;
-    startOpenSSHAgent = false; # pas compatible avec l'agent GnuPG
     inputClassSections = [''
     Identifier  "Marble Mouse"
     MatchProduct "Logitech USB Trackball"

public/sudo.nix

@@ -0,0 +1,18 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # Authorisation de certaines applications par sudo sans mot de passe
+
+  security.sudo.extraConfig = ''
+  %users ALL = NOPASSWD: ${pkgs.mtr}/bin/mtr
+  %users ALL = NOPASSWD: ${pkgs.slock}/bin/slock
+  '';
+}

public/swap.nix

@@ -1,13 +1,14 @@
 { config, lib, pkgs, ... }:
 
 let
-  inherit (lib) mkIf;
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
 
 mkIf cfg.swap {
+
   # Gestion du swap
   
   # https://en.wikipedia.org/wiki/Swappiness

public/udev.nix

@@ -0,0 +1,18 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+{
+  # Définition du IO Scheduler pour les SSD
+  services.udev.extraRules = ''
+  # set deadline scheduler for non-rotating disks
+  # according to https://wiki.debian.org/SSDOptimization, deadline is preferred over noop
+  ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/scheduler}="deadline"
+  '';
+
+}