glances en python 3 refuse de compiler. Il reste celui en python2

* plusieurs failles de sécurité
* option en commentaire pour l'activer quand même

base.nix

@@ -10,8 +10,6 @@ in
 {
   imports = [
     # recettes
-    ./base/base.nix
-    ./desktop/desktop.nix
     ./public/public.nix
 
     # moulinette de configuration

base/Makefile

@@ -1 +0,0 @@
-/etc/nixos/base/Makefile

base/activation-manuelle/nix-serve-client.nix

@@ -1,30 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-in
-
-mkIf cfg.nix-serve-client {
-
-  nix = {
-    # Cache http pour le store
-    requireSignedBinaryCaches = false;
-    binaryCaches =  [
-      (mkIf (profiles.isDubronetwork && (! computers.isPedro) && (! computers.isRollo)) "http://nix-cache.dubronetwork.fr:5001")
-      #(mkIf (profiles.isDubronetwork && computers.isPhenom) "http://latitude.grudu.net:5000")
-      (mkIf (profiles.isDubronetwork && computers.isPhenom) "http://monstre.grudu.net:5000")
-      (mkIf (profiles.isDubronetwork && computers.isPhenom) "http://radx.grudu.net:5000")
-
-      (mkIf profiles.isPrunetwork "https://cache.nixos.org/")
-      (mkIf (profiles.isPrunetwork && !profiles.isServer)   "http://nix-cache.dubronetwork.fr:5001")
-      (mkIf (profiles.isPrunetwork && computers.isRadx)     "http://monstre.grudu.net:5000")
-      (mkIf (profiles.isPrunetwork && computers.isRadx)     "http://phenom.grudu.net:5000")
-    ];
-    extraOptions = ''
-    connect-timeout = 5
-    '';
-  };
-}

base/activation-manuelle/nix-serve-server.nix

@@ -1,31 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-in
-
-mkIf cfg.nix-serve-server {
-
-  # Cache http pour le store
-
-  # Services
-  services.nix-serve = {
-    enable = true;
-  };
-
-  # Réseau
-  networking.firewall = {
-    allowedTCPPorts = [
-      #5000 # ouvert sur tinc
-    ];
-    allowedUDPPorts = [
-    ];
-    extraCommands = ''
-      iptables  -A INPUT -i tinc.grudunet -p tcp --dport 5000 -j ACCEPT
-      ip6tables -A INPUT -i tinc.grudunet -p tcp --dport 5000 -j ACCEPT
-    '';
-  };
-}

base/activation-manuelle/service-fail2ban.nix

@@ -1,64 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-
-  ignoreip = "pedro.dubronetwork.fr cube.dubronetwork.fr voyage.prunetwork.fr xray.prunetwork.fr 192.168.0.0/16 172.16.0.0/16";
-  destemail = "admins@dubronetwork.fr";
-in
-
-mkIf cfg.fail2ban {
-
-  # Gestion de fail2ban
-
-  # Paquets
-  environment.systemPackages = with pkgs; [
-    mailutils
-    whois
-  ];
-
-
-  # Services
-  services = {
-    fail2ban = {
-      enable = true;
-      jails = {
-        DEFAULT = ''
-          # "ignoreip" can be an IP address, a CIDR mask or a DNS host
-          ignoreip = 127.0.0.1/8 ${ignoreip}
-
-          # 1 jour
-          # bantime  = 86400
-          # 5 jours 
-          bantime  = 432000
-
-          maxretry = 3
-
-          destemail = ${destemail}
-
-          # https://github.com/Baughn/nixpkgs/blob/master/nixos/modules/services/security/fail2ban.nix
-          findtime = 600
-          maxretry = 3
-          backend  = systemd
-          enabled  = true
-        '';
-        ssh-route = ''
-          filter   = sshd
-          action   = route[blocktype=blackhole]
-        '';
-        # désactivation car souci de PATH avec les commandes mail ou sendmail. Nécessite un path motifiable
-        # ticket à ouvrir
-        #ssh-mail = ''
-        #  filter   = sshd
-        #  action   = sendmail[sendername=Fail2ban @${config.networking.hostName}]
-        #'';
-      };
-    };
-  };
-
-  # https://github.com/NixOS/nixpkgs/issues/8437
-  services.fail2ban.jails.ssh-iptables = "enabled = true";
-}

base/base.nix

@@ -1,20 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  #inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-in
-
-{
-  imports = [
-    ./network-dns.nix
-
-    # inclusion conditionnelle
-    ./activation-manuelle/service-fail2ban.nix
-    ./activation-manuelle/nix-serve-client.nix
-    ./activation-manuelle/nix-serve-server.nix
-    ./activation-manuelle/users.nix
-  ];
-}

base/network-dns.nix

@@ -1,22 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-in
-
-mkIf true {
-
-  # Définition des domaines utilisés lorsque un identifiant non-FQDN est donné (ping, nslookup)
-  networking = {
-    search = [
-      "dubronetwork.fr"
-      "prunetwork.fr"
-      "teleragno.fr"
-      "teleragno.net"
-    ];
-    dnsExtensionMechanism = true;
-  };
-}

byobu-adminsys

@@ -0,0 +1,34 @@
+#!/usr/bin/env bash
+
+SESSION_NAME="Adminsys"
+PROJECT_DIR="/etc/nixos"
+PROJECT_MODULES="base private server"
+HEAD_ADDITIONNAL_TABS="git config"
+TAIL_ADDITIONNAL_TABS="glances htop"
+
+# création de la session
+byobu new-session -d -s ${SESSION_NAME} -n 'run' -c ${PROJECT_DIR};
+
+# définition des onglets
+
+## onglets courants au début. Positionnés dans dossier projet
+for i in ${HEAD_ADDITIONNAL_TABS}
+do
+    byobu new-window -n ${i} -c ${PROJECT_DIR};
+done
+
+## onglets spécifiques au projet. Positionnés dans les dossiers enfants
+for i in ${PROJECT_MODULES}
+do
+    byobu new-window -n ${i} -c ${PROJECT_DIR}/${i};
+done
+
+## onglets courants à la fin. Positionnés dans dossier projet. Lance la commande du même nom que l'onglet
+for i in ${TAIL_ADDITIONNAL_TABS}
+do
+    byobu new-window -n ${i} -c ${PROJECT_DIR} ${i};
+done
+
+# affiche la session
+byobu -2 attach-session -t ${SESSION_NAME};
+

config-generator.nix

@@ -9,6 +9,7 @@ let
 in
 
 {
+# TODO: ménage
   ###### interface
 
   options = {

public/app-adminsys.nix

@@ -12,6 +12,7 @@ mkIf true {
   # Paquets
   environment.systemPackages = with pkgs; [
     # Adminsys
+    cowsay        # pour ansible & 4lulz
     iotop
     lm_sensors
     lshw
@@ -36,6 +37,7 @@ mkIf true {
     exfat         # Pour monter les FAT avec Fuse
     hubicfuse     # montage hubic
     ntfs3g        # ntfs
+    samba         # partages windows
     squashfsTools # squashfs
     sshfsFuse     # ssh
 

public/app-awesome.nix

@@ -7,6 +7,7 @@ let
   profiles = config.r6d.profiles;
 in
 
+# TODO: rc.lua par défaut (système)
 mkIf cfg.awesome {
 
   environment.variables = {

public/app-bureau.nix

@@ -1,24 +1,21 @@
 { config, lib, pkgs, ... }:
 
 let
+  inherit (lib) mkIf mkMerge mkThenElse;
   cfg = config.r6d.config-generator;
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
-  mkIf = lib.mkIf;
 in
 
-{
-  imports = [                   # applications :
-    # commandées par config-generator
-    ./activation-manuelle/xmonad/xmonad.nix      # gestionnaire de fenêtres xmonad
-  ];
+mkIf profiles.isDesktop {
 
   # Paquets
-  environment.systemPackages = with pkgs; mkIf profiles.isDesktop [
+  environment.systemPackages = with pkgs; [
     # Environement de bureau
     arandr          # interface graphique pour xrandr
     wmname          # pour définir le nom du gestionnaire de fenêtre (utile pour java)
     #kde4.ksnapshot # capture d'écran
+    xclip           # manipulation du clipboard X depuis la console
     xorg.xbacklight # pour gérer la luminosité de l'écran
     xorg.xev        # pour repérer les codes + noms standard des actions clavier/souris
     xorg.xkill      # pour 'tuer une application'
@@ -29,18 +26,10 @@ in
     ## Manipulation de fichier
     pcmanfm         # gestionnaire de fichiers graphique
     spaceFM         # gestionnaire de fichiers graphique
-    vifm            # gestionnaire de fichiers basé sur VIM (console)
+    #vifm            # gestionnaire de fichiers basé sur VIM (console)
 
     ## Terminal
     sakura          # terminal
-
-    # A trier
-    cowsay
-    fgallery        # générateur de gallerie statique http://www.thregr.org/~wavexx/software/fgallery/
-    samba
-    taskwarrior     # gestionnaire de tâches en console
-    udevil          # pour le montage des media amovibles
-    xclip           # manipulation du clipboard X depuis la console
   ];
 
   # Polices supplémentaires
@@ -52,17 +41,10 @@ in
     hasklig         # police dérivée de source-code-pro mais avec des ligatures
   ];
 
-  nixpkgs.config.packageOverrides = pkgs: {
-    clawsMail = pkgs.clawsMail.override {
-      enablePluginFancy = true;
-      enablePluginPdf = true;
-      enablePluginRavatar = true;
-      enablePluginSmime = true;
-      enablePluginVcalendar = true;
-      enableSpellcheck = true;
-    };
-    mumble = pkgs.mumble.override { pulseSupport = true; };
+  # Paquets avec setuid root
+  security.wrappers = {
+    # pour le montage des media amovibles
+    devmon.source = "${pkgs.udevil}/bin/devmon";
+    udevil.source = "${pkgs.udevil}/bin/udevil"; # utilisé par spacefm
   };
-
-  security.setuidPrograms = [ "udevil" ];
 }

public/app-bureautique.nix

@@ -16,6 +16,9 @@ mkIf profiles.isDesktop {
     gnumeric      # tableur
     #kde4.ksnapshot# réalisation de capture d'écran
 
+    # Gestion de tâche
+    taskwarrior     # gestionnaire de tâches en console
+
     ## Cartes mentales
     freemind
 

public/app-client-internet.nix

@@ -6,7 +6,7 @@ let
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
-
+# TODO: ménage
 mkIf profiles.isDesktop {
 
 # Paquets
@@ -37,4 +37,21 @@ environment.systemPackages = with pkgs; [
     transmission_gtk
     transmission_remote_gtk
   ];
+
+  nixpkgs.config.packageOverrides = pkgs: {
+    clawsMail = pkgs.clawsMail.override {
+      enablePluginFancy = false; # nécessite wekitgtk qui est troué
+      enablePluginPdf = true;
+      enablePluginRavatar = true;
+      enablePluginSmime = true;
+      enablePluginVcalendar = true;
+      enableSpellcheck = true;
+    };
+    mumble = pkgs.mumble.override { pulseSupport = true; };
+  };
+
+  #nixpkgs.config.permittedInsecurePackages = [
+  #  "webkitgtk-2.4.11"       # pour que le plugin fancy de claws-mail fonctionne
+  #];
+
 }

public/app-developpement-java.nix

@@ -16,5 +16,6 @@ mkIf cfg.developpement-java {
 
     # Java
     maven
+    zulu
   ];
 }

public/app-network.nix

@@ -21,11 +21,16 @@ mkIf true {
     ## Diagnostic
     arp-scan
     nmap          # outil de scan de port réseau
-    mtr           # outil de diagnostic réseau
     #wireshark
     whois
   ];
 
+  # Paquets avec setuid root
+  security.wrappers = {
+    # outil de diagnostic réseau
+    mtr.source = "${pkgs.mtr}/bin/mtr";
+  };
+
   networking.firewall = {
     allowedTCPPorts = [
       5201 # iperf

public/app-securite.nix

@@ -15,8 +15,12 @@ mkIf profiles.isDesktop {
     gnome3.seahorse # gestionnaire graphique de clef GPG
     pass            # gestionnaire de mots de passe
     pwgen           # générateur de mots de passe
-    slock           # vérouiller l''écran. "cannot disable the out-of-memory killer for this process (make sure to suid or sgid slock)" --> en root
     #yubikey-personalization-gui # utilisation de la clef Yubikey
   ];
-  security.setuidPrograms = [ "slock" ];
+
+  # Paquets avec setui root
+  security.wrappers = {
+    # vérouiller l''écran. "cannot disable the out-of-memory killer for this process (make sure to suid or sgid slock)" --> en root
+    slock.source = "${pkgs.slock}/bin/slock";
+  };
 }

public/environment.nix

@@ -7,6 +7,7 @@ let
   profiles = config.r6d.profiles;
 in
 
+# TODO: ménage
 {
   # Nombre de process d'installation en parrallèle effectués par Nix
   nix.buildCores = 0;
@@ -47,7 +48,7 @@ in
       pinentry      # pour taper les mots de passe gpg
       psmisc        # fournis les utilitaires comme killall, fuser, pstree
       python        # python -- python -m SimpleHTTPServer 8000
-      python34Packages.glances # monitoring
+      #python34Packages.glances # monitoring
       pwgen         # générateur de mot de passe
       rtorrent      # TODO outil de téléchargement de torrent & magnet
       tmux          # nécessaire pour byobu
@@ -69,13 +70,10 @@ in
       #git-loc = "git ls-files | while read f; do git blame --line-porcelain "${f}" | grep '^author '; done | sort -f | uniq -ic | sort -n";
       grep = "grep --color=auto";
       vi = "vim";
+      byobu-adminsys = "/etc/nixos/base/byobu-adminsys";
     };
     etc.gitconfig.text = builtins.readFile ./gitconfig;
   };
-  # programmes qui n'ont pas besoin de sudo pour fonctionner
-  security.setuidPrograms = [
-    "mtr"
-  ];
   programs.bash = {
     enableCompletion = true;
     promptInit = builtins.readFile ./bash-prompt.sh;

public/munin-muttrc

@@ -0,0 +1,3 @@
+set copy=no
+set realname = "Munin daemon"
+

public/public.nix

@@ -14,7 +14,6 @@ in
     ./localisation.nix
     ./network.nix
     #./network-ipv6.nix
-    ./sudo.nix
     ./service-haveged.nix
     ./service-monitoring-munin.nix
     ./service-monitoring-smokeping.nix
@@ -23,7 +22,7 @@ in
 
     # commandées par config-generator
     ## option de configuration spécifique
-    ./app-awesome.nix               # pour les profils awesome
+    ./app-awesome.nix               # pour le gestionaire de fenêtres awesome
     ./app-cao.nix                   # de conception assisté par ordinateur & modélisation
     ./app-cartographie.nix          # manipuler les données géographiques & cartes
     ./app-developpement.nix         # développer des programmes/scripts
@@ -48,9 +47,11 @@ in
     ./service-laptop.nix            # services spécifiques aux pc portables
     ./service-locate.nix            # service locate
     ./swap.nix                      # définition de l'utilisation du swap
+    ./xmonad/xmonad.nix             # pour le gestionaire de fenêtre xmonad
 
     ## if isDesktop
     ./app-adminsys.nix              # pour gérer le système dans son ensemble et les services
+    ./app-bureau.nix                # éléments pour avoir un environement graphique minimal utilisable
     ./app-bureautique.nix           # dédiée à la bureautique (traitement de texte, dessin, ...)
     ./app-client-internet.nix       # pour accéder & utiliser des ressources par le réseau
     ./app-multimedia.nix            # pour gérer le son, l'image et la vidéo

public/service-hydra-build.nix

@@ -6,7 +6,7 @@ let
   computers = config.r6d.computers;
   profiles = config.r6d.profiles;
 in
-
+# TODO: ménage
 mkIf cfg.hydra-builder {
 
   # Paquets

public/service-hydra-core.nix

@@ -22,6 +22,7 @@ let
   # information pour l'état de hydra :
   # hydra-queue-runner --status | json_pp
 in
+# TODO: passe de ménage
 mkIf cfg.hydra-core {
 
   # Paquets

public/service-monitoring-munin.nix

@@ -7,6 +7,8 @@ let
   profiles = config.r6d.profiles;
 in
 
+# TODO: ajouter option
+# TODO: changer adresse mail
 mkIf true {
 
   # Paquets
@@ -22,8 +24,8 @@ mkIf true {
     enable = true;
   };
   systemd.services.munin-node = {
-    path = [ pkgs.munin pkgs.lm_sensors ];
-    serviceConfig.TimeoutStartSec = "1min";
+    path = with pkgs; [ munin lm_sensors ];
+    serviceConfig.TimeoutStartSec = "3min";
   };
 
   ## Munin server -- generate /var/www/munin
@@ -34,7 +36,7 @@ mkIf true {
         address 127.0.0.1
     '';
     extraGlobalConfig = ''
-      contact.email.command mail -s "Munin notification for ''${var:host}" root@${config.networking.hostName}
+      contact.email.command ${pkgs.mutt}/bin/mutt -F /etc/nixos/base/public/munin-muttrc -s "Munin notification for ''${var:host}" jean-pierre@ocean.prunetwork.fr
     '';
   };
 

public/service-monitoring-smokeping.nix

@@ -7,6 +7,7 @@ let
   profiles = config.r6d.profiles;
 in
 
+# TODO: ajouter option
 mkIf true {
 
   # Paquets
@@ -14,7 +15,11 @@ mkIf true {
     bind
   ];
 
-  security.setuidPrograms = [ "fping" ];
+  # Paquets avec setuid root
+  security.wrappers = {
+    # outil de diagnostic réseau
+    fping.source = "${pkgs.fping}/bin/fping";
+  };
 
   # Services
 

public/service-pulseaudio.nix

@@ -15,5 +15,4 @@ mkIf profiles.isDesktop {
     support32Bit = true;
     daemon.config = { flat-volumes = "no"; };
   };
-  #environment.etc."pulse/daemon.conf".text = "flat-volumes = no";
 }

public/sudo.nix

@@ -1,18 +0,0 @@
-{ config, lib, pkgs, ... }:
-
-let
-  inherit (lib) mkIf mkMerge mkThenElse;
-  cfg = config.r6d.config-generator;
-  computers = config.r6d.computers;
-  profiles = config.r6d.profiles;
-in
-
-mkIf true {
-
-  # Authorisation de certaines applications par sudo sans mot de passe
-
-  security.sudo.extraConfig = ''
-  %users ALL = NOPASSWD: ${pkgs.mtr}/bin/mtr
-  %users ALL = NOPASSWD: ${pkgs.slock}/bin/slock
-  '';
-}