Modules système

Note

Un module système gère les configurations communes, importantes et générales.

⚙ darkone.system.core

Module noyau de DNF.

Module requis

Ce module est activé par défaut (requis par la configuration DNF). Il est nécessaire au bon fonctionnement de chaque ordinateur NixOS sur le réseau local.

Configure le chargeur d’amorçage systemd-boot, le noyau LTS, la police JetBrains Mono Nerd Font (avec kmscon pour le TTY), l’optimisation nocturne du store Nix et le nettoyage hebdomadaire (rétention 30 j, ou keep-last-N via gcKeepGenerations sur les hôtes à espace disque limité), le pare-feu, la politique de suspension (les serveurs peuvent la désactiver complètement via disableSuspend), les règles polkit permettant au groupe wheel d’arrêter/redémarrer, ainsi qu’un groupe/utilisateur partagé common-files pour les dossiers multimédia inter-services.

Point d’entrée du mixin

Active le mixin de profil de l’hôte (darkone.host.${host.profile}.enable) et propage enableSops vers le module sops.

• enable bool Framework noyau Darkone (activé par défaut)
• enableSystemdBoot bool Activer le chargeur d’amorçage par défaut
• enableFstrim bool Optimisation SSD avec fstrim
• enableFirewall bool Activer le pare-feu (true par défaut)
• enableSops bool Activer le module sops DNF (true par défaut)
• enableFlatpak bool Activer la configuration DNF pour flatpak (environnements graphiques uniquement)
• enableKmscon bool Activer la police nerd pour le TTY
• gcKeepGenerations int Quand > 0, réduire le profil système aux N dernières générations avant chaque nettoyage, et collecter quotidiennement sans rétention par âge. Pour les hôtes à partition racine limitée (passerelles).
• enableBoost bool Activer l’overclocking, corectl
• enableAutoSuspend bool Activer la suspension automatique (pour les laptops, ignoré si disableSuspend est true)
• disableSuspend bool Désactiver complètement la suspension (pour les serveurs)
• enableCommonFilesUser bool Activer l’utilisateur common-files utilisé par plusieurs services

darkone.system.core = {
  enable = true;
  enableSystemdBoot = true;
  enableFstrim = true;
  enableFirewall = true;
  enableSops = true;
  enableFlatpak = true;
  enableKmscon = true;
  gcKeepGenerations = 5;
  enableBoost = false;
  enableAutoSuspend = false;
  disableSuspend = false;
  enableCommonFilesUser = false;
};

---

⚙ darkone.system.documentation

Documentation (man) pour les développeurs et les administrateurs.

• enable bool Activer la documentation technique utile (man, nixos)

darkone.system.documentation.enable = false;

⚙ darkone.system.hardware

Améliorations de la configuration matérielle.

• enable bool Activer les optimisations matérielles
• enableIntel bool Activer les mises à jour du microcode Intel
• enableAmd bool Activer les mises à jour du microcode AMD

darkone.system.hardware = {
  enable = false;
  enableIntel = false;
  enableAmd = false;
};

⚙ darkone.system.i18n

Configuration de la localisation et de la langue.

Note

Par défaut, la configuration de ce module s’adapte à la configuration globale usr/config.yaml. La locale doit suivre la forme canonique xx_YY.UTF-8 (par exemple fr_FR.UTF-8) afin que les codes de langue et de pays puissent être dérivés en toute sécurité pour la disposition des touches de la console, la disposition XKB et les valeurs par défaut de la région téléphonique Nextcloud.

• enable bool Activer i18n avec la configuration de la zone de réseau par défaut
• locale strMatching localeRegex Locale réseau, doit correspondre à la forme xx_YY.UTF-8.
• timeZone str Fuseau horaire réseau

darkone.system.i18n = {
  enable = false;
  locale = "fr_FR.UTF-8";
  timeZone = "Europe/Paris";
};

⚙ darkone.system.security

Durcissement système ANSSI BP-028 v2.0 (GNU/Linux). (wip)

Module recommandé, activé dans certains profils hôtes ou manuellement selon les besoins. Applique progressivement les recommandations ANSSI selon le niveau choisi et la catégorie de machine. Chaque profil hôte définit son niveau et sa catégorie :

Module en développement

• Affiner et tester les options, fonctionnalités, etc.
• Créer le « checkScript », un outil d’introspection de la config de sécurité.
• Configuration locale simple pour les réglages spécifiques au matériel et aux besoins.

darkone.system.security = {
  level    = "intermediary"; # minimal | intermediary | reinforced | high
  category = "server";       # base | client | server
};

Les règles incompatibles avec l’environnement sont exclues par tag :

darkone.system.security.excludes = [ "needs-jit" "needs-hibernation" ];

Une règle spécifique peut être contournée avec une justification obligatoire :

darkone.system.security.exceptions = {
  R9.rationale = "Docker rootless required during development.";
};

Niveau de durcissement ANSSI

• minimal : socle commun, tout système (défaut).
• intermediary : recommandé pour la quasi-totalité des systèmes.
• reinforced : systèmes sensibles ou multi-utilisateurs.
• high : compétences et budget dédiés ; implique une recompilation du noyau (tag kernel-recompile) si non exclu.

Catégorie de machine

• base : règles universelles, toujours appliquées (défaut).
• client : poste de travail (GUI, USB, session, verrouillage).
• server : serveur (réseau durci, centralisation des logs, services exposés).

Indépendant de host.profile — à définir explicitement dans chaque profil hôte.

Tags d’exclusion

• kernel-recompile : ignore R15–R27, C1 (pas de noyau personnalisé).
• disable-kernel-module-loading: ignore R10 (peut casser des périphériques).
• no-ipv6 : ignore R13, R22 (désactivation IPv6).
• no-mac : ignore R37, R45 (pas de MAC actif).
• no-sealing : ignore R76, R77 (pas de HIDS/AIDE).
• no-auditd : ignore R73 (auditd non configurable).
• embedded : assouplit les contraintes /var, /home, etc.
• needs-jit : autorise W^X assoupli (Java, .NET, V8, Wasm).
• needs-kexec : conserve kexec pour kdump.
• needs-binfmt : conserve binfmt_misc (Java, qemu-static).
• needs-hibernation : conserve l’hibernation (portables).
• needs-usb-hotplug : désactive USBGuard / deny_new_usb.

Exceptions par règle

Une règle avec une exception est exclue de l’activation même si le niveau la couvrirait. Justification obligatoire dans rationale.

Effets secondaires

Certaines règles peuvent casser un usage courant : noexec /tmp (R28), SMT désactivé (R8), modules non signés (R18), conteneurs rootless (R9), JIT (R63). Voir les commentaires sideEffects dans chaque fichier thématique avant d’augmenter le niveau sur un système de production.

• enable bool Active le module de durcissement ANSSI BP-028 v2.0.
• level enum [ "minimal" "intermediary" "reinforced" "high" ] Niveau de durcissement ANSSI ciblé.
• category enum [ "base" "client" "server" ] Catégorie de machine qui sélectionne les sous-ensembles de règles.
• excludes listOf str Tags qui désactivent des groupes entiers de règles.
• exceptions attrs Exceptions par règle avec justification obligatoire.
• adminMailbox str Adresse e-mail de l’administrateur (sudo R39, alias MTA R75).
• useHardenedKernel bool Utilise linuxPackages_hardened (R60, C1) au lieu du noyau par défaut.
• allowedActiveUsers listOf str Comptes humains autorisés à s’authentifier (R30). Par défaut, chaque utilisateur déclaré dans config.yaml (host.users) plus le compte de déploiement de l’infrastructure nix. Les comptes désactivés (sans identifiant de mot de passe) et les comptes de service (pas des utilisateurs normaux) n’ont pas besoin d’être listés.

darkone.system.security = {
  enable = false;
  level = "minimal";
  category = "base";
  excludes = [ ];
  exceptions = { };
  adminMailbox = "admin@exemple.fr";
  useHardenedKernel = false;
  allowedActiveUsers = [ ];
};

---

⚙ darkone.system.services

Enregistrement et configuration des services DNF.

Module interne spécial

Ce module est utilisé pour enregistrer et configurer les modules DNF :

• Client du serveur de coordination (headscale / tailscale)
• Proxies inverses (caddy)
• Enregistrements sur la page d’accueil
• Entrées DNS
• Dossiers et fichiers à sauvegarder

• enable bool Activer le gestionnaire de services DNF pour enregistrer et exposer les services
• service attrs Configuration globale des services <name>
  • enable bool Activer le proxy du service
  • defaultParams submodule Ces options sont calculées par dnfLib.srv.extractServiceParams
    • domain str Nom de domaine pour le service
    • title str Nom affiché dans la page d’accueil
    • description str Description du service pour la page d’accueil
    • icon str Nom de l’icône pour la page d’accueil 🡕
    • global bool Le service global est accessible sur Internet
    • noRobots bool Empêcher les robots de scanner si global est vrai
    • fqdn str FQDN calculé du service avant le proxy inverse
    • href str URL calculée du service avant le proxy inverse
    • ip str IP calculée pour contacter le service
  • displayOnHomepage bool Afficher un lien sur la page d’accueil
  • reverseProxy bool Accessible via le proxy inverse de la passerelle de zone (le DNS pointe vers l’IP LAN de la passerelle)
  • uniquePerZone bool Au plus une instance autorisée par zone (validation du générateur)
  • externalAccess bool Service de zone www accessible depuis le LAN via une IP d’hôte fixe (ex. headscale, turn)
  • persist.dirs listOf str Répertoires persistants du service
  • persist.files listOf str Fichiers persistants du service
  • persist.dbDirs listOf str Répertoires persistants du service avec base(s) de données
  • persist.dbFiles listOf str Fichier(s) de base de données du service
  • persist.varDirs listOf str Fichiers secondaires variables (log, cache, etc.)
  • persist.mediaDirs listOf str Répertoires média du service (images, vidéos, gros fichiers)
  • proxy.enable bool Créer ou non la configuration virtualHost (false pour les services qui gèrent la leur)
  • proxy.isProtected bool Service protégé par Oauth2
  • proxy.allowedGroups listOf str Groupes Kanidm autorisés sur ce service protégé (vide = tout utilisateur authentifié)
  • proxy.protectExternalOnly bool N’exiger l’auth que pour les clients externes ; les appelants LAN/tailnet internes contournent la connexion
  • proxy.isInternal bool Lier le service sur l’interface interne uniquement (pas accessible depuis Internet)
  • proxy.hasReverseProxy bool Ceci est un proxy inverse (ou une autre configuration virtualHost via extraConfig)
  • proxy.defaultService bool Est le service par défaut
  • proxy.servicePort nullOr port Port interne du service
  • proxy.preExtraConfig lines Configuration virtualHost Caddy supplémentaire (préfixe)
  • proxy.extraConfig lines Configuration virtualHost Caddy supplémentaire
  • proxy.extraGlobalConfig lines Configuration Caddy supplémentaire
  • proxy.scheme str Schéma interne du service (http / https)

darkone.system.services = {
  enable = false;
  service.enable = false;
  service.defaultParams.domain = "";
  service.defaultParams.title = "";
  service.defaultParams.description = "";
  service.defaultParams.icon = "";
  service.defaultParams.global = false;
  service.defaultParams.noRobots = true;
  service.defaultParams.fqdn = "";
  service.defaultParams.href = "";
  service.defaultParams.ip = "";
  service.displayOnHomepage = true;
  service.reverseProxy = true;
  service.uniquePerZone = false;
  service.externalAccess = false;
  service.persist.dirs = [ ];
  service.persist.files = [ ];
  service.persist.dbDirs = [ ];
  service.persist.dbFiles = [ ];
  service.persist.varDirs = [ ];
  service.persist.mediaDirs = [ ];
  service.proxy.enable = true;
  service.proxy.isProtected = false;
  service.proxy.allowedGroups = [ ];
  service.proxy.protectExternalOnly = false;
  service.proxy.isInternal = false;
  service.proxy.hasReverseProxy = true;
  service.proxy.defaultService = false;
  service.proxy.servicePort = null;
  service.proxy.preExtraConfig = "";
  service.proxy.extraConfig = "";
  service.proxy.extraGlobalConfig = "";
  service.proxy.scheme = "https";
};

---

⚙ darkone.system.sops

Gestion des mots de passe et secrets DNF sops.

Module critique

Ce module est activé par défaut dans le module core. Il est recommandé de le conserver activé et de le configurer (commandes just passwd*).

Connecte sops-nix à usr/secrets/secrets.yaml et le déverrouille avec la clé SSH de l’hôte (ssh_host_ed25519_key) plus la clé d’infrastructure dédiée age (/etc/sops/age/infra.key). Pré-déclare un groupe sops partagé, les secrets default-password / default-password-hash (lisible par le groupe sops), et un secret user/<login>/password-hash par utilisateur d’hôte (avec neededForUsers = true pour que le hash soit disponible avant la création des comptes utilisateur).

• enable bool Activer la configuration automatique sops pour DNF

darkone.system.sops.enable = false;

⚙ darkone.system.srv-dirs

Service de gestion des répertoires partagés.

Activation automatique

Ce service est automatiquement activé par les services qui utilisent NFS ou le stockage médias partagé.

• enable bool Activer les répertoires srv, créer le répertoire racine (par défaut /srv)
• enableNfs bool Activer les chemins de service nfs (nfs/common, nfs/homes)
• enableMedias bool Activer les chemins des services médias (medias/[videos|music|incomming/…])
• root str Répertoire racine pour les données persistantes (/srv)
• nfs str Répertoire racine NFS (/srv/nfs)
• homes str Répertoire pour les domiciles partagés (/srv/nfs/homes)
• common str Répertoire commun partagé (/srv/nfs/common lié à ~/Public)
• medias str Répertoire racine des médias (/srv/medias)
• music str Répertoire partagé des fichiers musicaux (/srv/medias/music)
• videos str Répertoire partagé des fichiers vidéo (/srv/medias/videos)
• incoming str Répertoire partagé entrant (/srv/medias/incoming accès écriture)
• incomingMusic str Répertoire partagé entrant (/srv/medias/incoming/music accès écriture)
• incomingVideos str Répertoire partagé entrant (/srv/medias/incoming/videos accès écriture)

darkone.system.srv-dirs = {
  enable = cfg.enableNfs || cfg.enableMedias;
  enableNfs = false;
  enableMedias = false;
  root = "/srv";
  nfs = null;
  homes = null;
  common = null;
  medias = null;
  music = null;
  videos = null;
  incoming = null;
  incomingMusic = null;
  incomingVideos = null;
};

⚙ darkone.system.testing

Mode de test autonome pour le NixOS Test Driver.

Quand activé, neutralise les parties incompressiblement externes/d’exécution pour qu’un nœud puisse être testé dans une VM : headscale/tailscale deviennent des no-op et un certificat TLS fixe peut stuber ACME. Il permet aussi à core/ncps d’ignorer la config propre à workDir (nix.pub, harmonia.pub). sops reste REAL (grande fidélité).

Test uniquement

Activé uniquement via tests/lib/test-tuning.nix. Ce module ne référence jamais de chemin sous tests/ — le chemin du certificat est passé comme valeur d’option.

• standalone bool Mode test autonome — ignore la config propre à workDir (nix.pub, harmonia.pub) et neutralise les services externes
• tlsCert nullOr path Certificat auto-signé (PEM) fourni par le harnais de test pour stuber ACME. Jamais un chemin tests/ intégré au framework.
• tlsKey nullOr path Clé privée (PEM) associée à tlsCert.

darkone.system.testing = {
  standalone = false;
  tlsCert = null;
  tlsKey = null;
};

---