Running the Nix daemon (nearly) rootless

Zitieren

NixCon

Hufschmitt, Théophane

Formale Metadaten

Titel

Running the Nix daemon (nearly) rootless

Serientitel

NixCon 2022

Anzahl der Teile

Autor

Hufschmitt, Théophane

Lizenz

CC-Namensnennung 3.0 Unported:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.

Identifikatoren

10.5446/61038 (DOI)

Herausgeber

NixCon

Erscheinungsjahr

2022

Sprache

Englisch

Inhaltliche Metadaten

Fachgebiet

Informatik

Genre

Konferenz/Talk

Abstract

Making Nix follow the principle of least privilege by removing as much as possible the need to it to run as root In multi-user mode, the Nix daemon is expected to run as root. This is quite annoying from a security point of view as the Nix codebase is (somewhat) large and not properly audited. Because of that it is also an adoption blocker in some places. I turns out that there's very few places where Nix actually needs to be root, and we can remove or isolate these, as done in https://github.com/NixOS/nix/pull/5380.