Dans Home Manager, il est possible de gérer des services utilisateurs systemd pour faire tourner des daemons de récupération, de tri, d'emails ou de synchronisation de calendriers. Ces processus requièrent des secrets pour leurs opérations, dès lors, on peut les stocker dans des fichiers, dans des variables d'environnements. Ici, on montre une solution satisfaisante basée sur le noyau Linux, peu connue, qui permet d'assurer différents modèles de menaces.

NixOS, par sa nature, est très déclaratif. Ce qui laisse penser qu'il est difficile d'automatiser les changements et d'asservir une flotte de machines NixOS autrement que par changer un fichier et laisser un CI/CD redéployer la configuration. En réalité, il est possible de mettre une API REST derrière une machine NixOS pour la gérer de façon dynamique tout en gardant les aspects reproductibles et déclaratifs.

Il est assez courant d'avoir des services internes, accessibles seulement par VPN, e.g. un hyperviseur ou des interfaces d'administration système. Cependant, depuis quelques années, les navigateurs poussent pour l'usage systématique de HTTPS partout et ce n'est pas si idiot que ça d'un point de vue de la menace même en intranet ou en gestion de PKI. Ici, on présente une façon simple d'obtenir des certificats avec la méthode DNS-01 de ACME tout en isolant le serveur DNS qui effectuera les challenges.

Packager un service complexe est douleureux dans NixOS car il faut mettre à plat toutes les hypothèses des développeurs, néanmoins, plus NixOS a de services, plus il est facile d'en packager de nouveaux. Ici, on prend l'exemple de Sentry qui comporte un certain nombre de parties mouvantes et on en développe une théorie générale réapplicable.

Lorsqu'on a des crash, on peut souvent déterminer des causes à l'aide d'outil locaux comme strace, ltrace, gdb, etc. Mais que faire quand le crash concerne une couche entière technique allant de votre serveur graphique jusqu'à votre terminal ? Avec NixOS, vous pouvez faire une dichotomie de vos problèmes et recompiler des couches techniques entières avec ASAN ou des outils de diagnostics plus sophistiqués.