Les secrets (sops-nix)

Tous les secrets du réseau (mots de passe, clés, jetons) vivent chiffrés dans un seul fichier, géré par sops-nix 🡕. Il est versionné dans git sous forme chiffrée ; seuls les porteurs d’une clé peuvent le déchiffrer.

# usr/secrets/secrets.yaml (chiffré au repos)
default-password: ...
default-password-hash: ...
user:
  alice:
    password-hash: ...

Les deux clés

Le déchiffrement repose sur deux clés age 🡕 :

Clé	Où	Rôle
Clé admin	~/.config/sops/age/keys.txt	Éditer les secrets depuis le poste admin
Clé d’infra	/etc/sops/age/infra.key	Déchiffrer sur chaque hôte au déploiement

• La clé admin dérive de votre clé SSH (~/.ssh/id_ed25519, via ssh-to-age).
• La clé d’infra est générée une fois, puis poussée sur chaque hôte.
• Les destinataires sont listés dans usr/secrets/.sops.yaml (admin + infra).

Ne jamais committer une clé privée

La clé d’infra vit hors du dépôt (/etc/sops/age/). Le .gitignore de usr/secrets/ exclut déjà *.key. Ne la copiez jamais dans le dépôt.

Initialiser (poste admin)

Une seule commande prépare tout l’appareillage de secrets :

just configure-admin-host

Elle est idempotente et crée, au besoin :

• la clé SSH du déployeur (nix) ;
• la clé admin (depuis la clé SSH) et la clé d’infra (age-keygen) ;
• le fichier .sops.yaml (destinataires) ;
• un mot de passe par défaut (just passwd-default) ;
• la clé de signature du cache binaire Harmonia.

Détail du parcours

Cette étape fait partie de l’installation initiale.

Gérer les mots de passe

Commande	Effet
just passwd-default	(Re)définit le mot de passe par défaut des comptes
just passwd <user>	Définit le mot de passe d’un utilisateur
just passwd-restic	Génère les secrets de sauvegarde (par hôte / zone)
just sops	Édite le fichier de secrets à la main ($EDITOR)

Après un changement, déployez pour le propager :

just passwd alice
just apply @user-alice     # déploie la nouvelle empreinte

Empreintes, jamais le clair

Les mots de passe de comptes sont stockés hachés (password-hash). Le clair n’est jamais déployé sur les hôtes.

Pousser la clé sur un hôte

Un hôte ne déchiffre les secrets qu’avec la clé d’infra. Elle est posée automatiquement par just configure <host>, ou à la main :

just push-key <host>      # copie /etc/sops/age/infra.key sur l'hôte

Rarement utile

push-key est déjà intégré à just install (et just configure) : en pratique, vous ne devriez pas avoir à l’appeler vous-même.

Faire tourner la clé d’infra

La rotation remplace la clé d’infra sur tout le parc, en trois temps vérifiés :

Finalize seulement quand tout le parc est à jour

finalize supprime l’ancienne clé. Si un hôte n’a pas encore reçu la nouvelle (rotate push-keys + just apply), il devient impossible à déchiffrer, donc inaccessible au déploiement. N’exécutez finalize qu’après avoir confirmé que tous les hôtes portent la nouvelle clé.

1. Introduire la nouvelle clé

   just rotate init        # nouvelle clé + ré-chiffrement (ancienne + nouvelle)

2. Diffuser sur tous les hôtes

   just rotate push-keys   # chaque hôte reçoit les deux clés
   just apply '*'

3. Finaliser

   just rotate finalize    # abandonne l'ancienne clé (après vérification)
   just apply '*'

Ordre imposé

La présence de /etc/sops/age/infra.key.old signale une rotation en cours. Terminez toujours par finalize : tant qu’elle n’est pas faite, les hôtes portent les deux clés.