alias gpg -> gpg2

This reverts commit 99d5886aff.

Makefile

@@ -37,7 +37,7 @@ push: submodules-push
 
 submodules-update:
 	#git submodule update --remote
-	git submodule foreach git co master
+	#git submodule foreach git co master
 	git submodule foreach git ff
 
 submodules-push:

README

@@ -1,11 +0,0 @@
-# nixos-template-base
-
-Ce dépôt stocke une configuration générique des machines.
-Une recette dite "config-generator" adapte la configuration selon le nom de la machine (FQDN).
-
-Actuellement, les scripts contiennent un peu de configuration spécifique pour les machines des mainteneurs.
-
-# Lien pour install sur machine distante
-
-* https://nixos.org/wiki/How_to_install_NixOS_from_Linux#Installing_through_a_chroot
-* https://github.com/NixOS/nixpkgs/issues/13305

README.md

@@ -0,0 +1,41 @@
+# nixos-template-base
+
+Ce dépôt stocke une configuration générique des machines.
+Une recette dite "config-generator" adapte la configuration selon le nom de la machine (FQDN).
+
+Actuellement, les scripts contiennent un peu de configuration spécifique pour les machines des mainteneurs.
+
+# Lien pour install sur machine distante
+
+* https://nixos.org/wiki/How_to_install_NixOS_from_Linux#Installing_through_a_chroot
+* https://github.com/NixOS/nixpkgs/issues/13305
+
+# Notes pour l'upgrade de 16.03 vers 16.09
+
+* mettre le dépôt base sur la branche upgrade-16.09
+* changer le channel nixos : ```nix-channel --add https://nixos.org/channels/nixos-16.09 nixos```
+* activer x11 dans le configuration.nix
+
+~~~
+services.xserver.enable = true;
+~~~
+
+* remplacer le bootloader si gummiboot était utilisé
+
+~~~
+boot.loader.gummiboot.enable = true;
+~~~
+
+devient
+
+~~~
+boot.loader.systemd-boot.enable = true;
+~~~
+
+Pour résoudre les soucis d'upgrade, il est conseillé :
+* de désactiver tous les imports (sauf `hardware.nix`)
+* d'ajouter `.../localisation.nix` dans les imports sous peine d'être en clavier US
+* d'ajouter ```nixpkgs.config.allowUnfree = true;```
+* d'ajouter `vim` aux paquets
+* de réactiver petit à petit les lignes désactivées
+

base/activation-manuelle/nix-serve-client.nix

@@ -16,7 +16,7 @@ mkIf cfg.nix-serve-client {
       (mkIf (profiles.isDubronetwork && (! computers.isPedro) && (! computers.isRollo)) "http://nix-cache.dubronetwork.fr:5001")
 
       (mkIf profiles.isPrunetwork "https://cache.nixos.org/")
-      (mkIf (profiles.isPrunetwork && !profiles.isServer) "http://192.168.1.20:5000")
+      (mkIf (profiles.isPrunetwork && !profiles.isServer) "http://nix-cache.dubronetwork.fr:5001")
     ];
     extraOptions = ''
     connect-timeout = 5

base/activation-manuelle/users.nix

@@ -20,6 +20,7 @@ in {
 
   users.extraUsers.root = {
     openssh.authorizedKeys.keys = [
+      mbpJPierre03
       radxJPierre03
       radxRoot
       phenomTaeradan

config-generator.nix

@@ -42,6 +42,8 @@ in
         edition-photo   = mkEnableOption "Profil pour la création/édition de photos.";
         edition-video   = mkEnableOption "Profil pour la création/édition de video.";
         fail2ban        = mkEnableOption "Profil pour activer Fail2ban.";
+        hydra-builder   = mkEnableOption "Profil pour une machine qui compile pour hydra.";
+        hydra-core      = mkEnableOption "Profil pour un serveur hydra.";
         jeux            = mkEnableOption "Profil pour les jeux vidéos.";
         laptop          = mkEnableOption "Profil pour les outils spécifiques aux ordinateurs portables..";
         locate          = mkEnableOption "Profil pour activer la fonction locate.";
@@ -181,6 +183,9 @@ in
       };
 
       r6d.config-generator = {
+        hydra-builder = true;
+        hydra-core = true;
+        print = true;
         virtualbox = true;
       };
     })
@@ -251,6 +256,8 @@ in
 
       r6d.config-generator = {
         nix-serve-server = true;
+        laptop = true;
+        edition-photo = true;
       };
     })
     (mkIf comp.isRollo {

desktop/desktop.nix

@@ -1,10 +1,10 @@
-{ config, pkgs, ... }:
+{ config, lib, pkgs, ... }:
 
 let
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
-  mkIf = pkgs.lib.mkIf;
+  mkIf = lib.mkIf;
 in
 
 {

public/app-bureautique.nix

@@ -37,7 +37,7 @@ mkIf profiles.isDesktop {
     jekyll        # générateur statique de site web
     odpdown       # conversion md -> presentation ODP : https://github.com/thorstenb/odpdown
     pandoc
-    texLiveFull   # distribution LaTeX
+    texlive.combined.scheme-full # distribution LaTeX
     #texLive       # distribution LaTeX de base
     #texLiveBeamer # paquets et extensions pour Beamer
     #texLiveModerncv # paquets pour la classe Modern CV

public/app-client-internet.nix

@@ -25,7 +25,7 @@ environment.systemPackages = with pkgs; [
     ## Mail & Discussion (texte, audio)
     clawsMail
     hexchat
-    kde5.quasselClient
+    quasselClient
     mumble
     mutt
     pidgin

public/app-developpement.nix

@@ -38,7 +38,7 @@ mkIf cfg.developpement {
 
     ## Rust
     cargo               # récupération des dépendances + compilation projet rust
-    rustPlatform.rustc  # pour les appels depuis les scripts
+    rustc               # pour les appels depuis les scripts
 
     ## Visualisation & outils de diff
     gource              # visualisation en mouvement de l'historique git

public/app-network.nix

@@ -7,7 +7,8 @@ let
   profiles = config.r6d.profiles;
 in
 
-mkIf profiles.isDesktop {
+mkIf true {
+#mkIf profiles.isDesktop {
 
   # Paquets
   environment.systemPackages = with pkgs; [
@@ -19,7 +20,7 @@ mkIf profiles.isDesktop {
 
     ## Diagnostic
     arp-scan
-    wireshark
+    #wireshark
     whois
   ];
 

public/bash-interactive-init.sh

@@ -16,3 +16,8 @@ case "$TERM" in
     xterm) TERM=xterm-256color;;
     screen) TERM=screen-256color;;
 esac
+
+# info gnupg, invocate gpg agent
+GPG_TTY=$(tty)
+export GPG_TTY
+

public/environment.nix

@@ -12,11 +12,17 @@ in
   nix.buildCores = 0;
 
   # The NixOS release to be compatible with for stateful data such as databases.
-  system.stateVersion = "16.03";
+  system.stateVersion = "16.09";
+
+  #  copies the NixOS configuration file (usually /etc/nixos/configuration.nix) and links it from the resulting system (getting to /run/current-system/configuration.nix)
+  system.copySystemConfiguration = true;
 
   # On autorise les paquets non-libres
   nixpkgs.config.allowUnfree = true;
 
+  # Lancement de dbus pour les utilisateurs
+  services.dbus.socketActivated = true;
+
   # Paquets
   environment = {
     systemPackages = with pkgs; [
@@ -36,6 +42,8 @@ in
       p7zip         # compression de fichier
       parted        # partitionnement de disque
       pciutils
+      pinentry      # pour taper les mots de passe gpg
+      psmisc        # fournis les utilitaires comme killall, fuser, pstree
       python        # python -- python -m SimpleHTTPServer 8000
       python34Packages.glances # monitoring
       pwgen         # générateur de mot de passe
@@ -49,6 +57,8 @@ in
     ];
     shellAliases = {
       byobu = "byobu-tmux";
+      gpg = "gpg2";
+      jacques-a-dit = "sudo";
       tree = "tree -C";
       tree1 = "tree -d -L 1";
       tree2 = "tree -d -L 2";
@@ -58,6 +68,10 @@ in
     };
     etc.gitconfig.text = builtins.readFile ./gitconfig;
   };
+  # programmes qui n'ont pas besoin de sudo pour fonctionner
+  security.setuidPrograms = [
+    "mtr"
+  ];
   programs.bash = {
     enableCompletion = true;
     promptInit = builtins.readFile ./bash-prompt.sh;

public/laptop.nix

@@ -21,6 +21,7 @@ mkIf cfg.laptop {
 
   # Paquets
   environment.systemPackages = with pkgs; [
-    networkmanagerapplet
+    networkmanagerapplet    # gestionnaire réseau graphique + console (nm-applet + nmtui)
+    wirelesstools           # fournis iwconfig
   ];
 }

public/network.nix

@@ -0,0 +1,18 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf true {
+
+  # fix: Hostname -s renvoie "Unknown host" alors que hostname renvoie la bonne valeur
+  #      Il s'avère que hostname vérifie la validité du FQDN et du reverse.
+  #      Fixer ces paramètres dans les hosts permet de faire tomber en marche
+  networking.extraHosts = ''                                                                                                                                                                                                                                                 
+    127.0.0.1   ${config.networking.hostName}                                                                                                                                                                                                                             
+  '';
+}

public/public.nix

@@ -12,6 +12,7 @@ in
     # installées systématiquement
     ./environment.nix
     ./localisation.nix
+    ./network.nix
     #./network-ipv6.nix
     ./sudo.nix
     ./service-haveged.nix
@@ -33,6 +34,8 @@ in
     ./auto-upgrade.nix          # mise à jour automatique du système
     ./laptop.nix                # appli & configuration adaptée pour un PC portable
     ./print.nix                 # configuration de base de cups
+    ./service-hydra-build.nix   # service de construction de paquet. -> la machine compile des paquets
+    ./service-hydra-core.nix    # service pour l'instance d'hydra
     ./service-laptop.nix        # services spécifiques aux pc portables
     ./service-locate.nix        # service locate
     ./swap.nix                  # définition de l'utilisation du swap

public/service-hydra-build.nix

@@ -0,0 +1,31 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.hydra-builder {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Services
+
+
+  virtualisation.virtualbox.host.enable = true;
+  nix.gc.automatic = true;
+
+  users.users."hydrabld" = {
+    description = "Execution des job hydra";
+    group = "nixbld";
+    isNormalUser = false;
+
+    openssh.authorizedKeys.keys = [
+      "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGYpjcWJCf8dXpv2LmoIaNVbwZXEC50QUU6Az+lqeD89 hydra radx"
+    ];
+  };
+}

public/service-hydra-core.nix

@@ -0,0 +1,60 @@
+{ config, lib, pkgs, ... }:
+
+let
+  inherit (lib) mkIf mkMerge mkThenElse;
+  cfg = config.r6d.config-generator;
+  computers = config.r6d.computers;
+  profiles = config.r6d.profiles;
+in
+
+mkIf cfg.hydra-core {
+
+  # Paquets
+  environment.systemPackages = with pkgs; [
+  ];
+
+  # Services
+
+  ## Hydra
+  # 2. créer un utilisateur pour gérer hydra
+  # su - hydra
+  # hydra-create-user jpierre03 --password xxx --role 'admin'
+
+  services.hydra = {
+    enable = true;
+    hydraURL = "http://hydra.${config.networking.hostName}";
+    notificationSender = "hydra@${config.networking.hostName}";
+    listenHost = "localhost";
+    minimumDiskFree = 50; # Go
+  };
+
+  ## Ménage
+  #nix.gc.automatic = true;
+
+  ## Délégation des actions de compilation à la compilefarm
+
+  ### Machines connues
+  # 2. récupérer la clef publique du serveur ssh : ssh-keyscan localhost + l'ajouter dans les knownHosts
+  
+  programs.ssh.knownHosts = {
+    "monstre.dubronetwork.fr".publicKey = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBTTrLhq1Cwm0rpnwEIxSLqVrJWZnt+/9dt+SKd8NiIc";
+    "pedro.dubronetwork.fr".publicKey   = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIM7fjo2ysLqlfSo6BKnc6I6m1ayoPrbwEEyTKZmUzsOD";
+    "ocean.prunetwork.fr".publicKey     = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINCaRuTl8iCTUE4XInOpkSlwQj5Re4w4Iq+gNIlJe8pA";
+    "radx.prunetwork.fr".publicKey      = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIGyoXdTEnxSgZTMfRfVH+bpOGZJtJpydAijcRGsZik7U";
+    "rollo.dubronetwork.fr".publicKey   = "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAID4lWgS/sVdcZvnAAN+lBSOcCL9ISdAUsjp1kh9lalNu";
+  };
+
+  # une fois installé :
+  # 1. créer chef SSH : ssh-keygen -C "hydra@pedro.dubronetwork.fr" -N "" -f /etc/nixos/id_buildfarm
+  # ssh-keygen -t ed25519 -C "hydra MACHINE" -f /etc/nixos/hydra-ssh-key
+  # accessible à hydra.pedro.dubnronetwork.fr
+  
+  nix = {
+    distributedBuilds = true;
+    buildMachines = [
+    #      { hostName = "pedro.dubronetwork.fr"; maxJobs = 2; speedFactor = 10; sshKey = "/etc/nixos/id_buildfarm"; sshUser = "root"; system = "x86_64-linux"; }
+    ];
+    extraOptions = "auto-optimise-store = true";
+  };
+  
+}

public/service-ssh.nix

@@ -14,6 +14,7 @@ mkIf true {
   services.openssh = {
     enable = true;
     # https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern_.28OpenSSH_6.7.2B.29
+    # http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
     extraConfig = ''
       KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
       Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

public/service-x11.nix

@@ -12,13 +12,11 @@ mkIf profiles.isDesktop {
   # Services
   # Enable the X11 windowing system.
   services.xserver = {
-    enable = true;
+    #enable = true;
     layout = "fr";
     xkbOptions = "eurosign:e";
     displayManager.lightdm.enable = true;
     windowManager.awesome.enable = true;
-    startGnuPGAgent = true;
-    startOpenSSHAgent = false; # pas compatible avec l'agent GnuPG
     inputClassSections = [''
     Identifier  "Marble Mouse"
     MatchProduct "Logitech USB Trackball"