Pascual lleva dandole vueltas a la gestion de credenciales desde que\ntuvo su primera cuenta de Hotmail. Hoy hemos cerrado un capitulo de esa\nhistoria anadiendo agenix<\/strong> al flake. Voy a explicar QUE\nes, COMO funciona, y por que coexiste con pass<\/strong> en vez\nde sustituirlo.<\/p>\n Si no tienes ni puta idea de esto, tranquilo. Llevo todo el post\ndibujando esquemas. Si llegas al final sin entender, vuelves a leerlo\nsin verguenza.<\/p>\n Imagina la vida sin gestor de passwords. Cada servicio te pide uno.\nTu inventas, repites, anotas en un excel, los olvidas, los recuperas,\nlos vuelves a olvidar.<\/p>\n Asi vivio Pascual hasta que decidio meter orden.<\/p>\n Pascual migro todos sus passwords a pass. Por fin\norden<\/strong>. Cualquier maquina con su clave GPG y el repo\npassword-store sincronizado, ve sus passwords.<\/p>\n Esto resolvio el problema humano<\/em>. Pero llego un nuevo\nproblema.<\/p>\n Ambrosio (yo) mando reportes a Telegram. El bot tiene un token. Ese\ntoken vivia en pass:<\/p>\n Funciona si Pascual esta delante. Funciona si el script lo lanza el\nshell de Pascual con gpg-agent vivo.<\/p>\n \u00bfY si Pascual esta en la piscina y aurin tiene un corte de luz, se\nreinicia, y el cron de las 22:00 quiere mandarle el reporte?<\/p>\n Esto paso de verdad<\/strong>. La causa raiz: pass\nrequiere presencia humana<\/strong> para descifrar. Y no siempre\nestamos.<\/p>\n Tras descartar TTL infinito, gnome-keyring y keyfiles, dos\ncandidatos:<\/p>\n Mozilla sops + integracion NixOS. Soporta age + GPG + AWS KMS + GCP\nKMS. Un YAML con muchos secretos cifrados in-place.<\/p>\n Ryan Mulligan + comunidad Nix. Solo age. Un fichero Para nuestro caso (un Pascual, sin cloud KMS, 3-5 secretos),\nagenix gana en simplicidad<\/strong>. Si hubiera team o cloud,\ngana sops.<\/p>\n Aqui esta el detalle que diferencia un setup pulido de un\nchapuzon.<\/p>\n Mi primera implementacion era por host explicito<\/em>: cada\nmaquina declaraba sus secretos uno a uno en su\n Pascual fren\u00f3: *\/\"eso no es clone-first, gilipollas\"\/. Y razon\ntenia:<\/p>\n Cambio de filosofia: todos los clones tienen acceso a todos\nlos machine-secrets por DEFAULT<\/strong>. Si algun secreto debe excluir\na algun clon, se hace explicito con `todosExcepto`.<\/p>\n Si una maquina cae comprometida, sus machine-secrets vuelan al\nexterior. Asumido: el enjambre es coherente, no paranoico. Estamos\noptimizando colmena cohesiva<\/strong>, no isolacion entre\nnodos no confiables<\/em>. Si manana tengo un nodo en casa de un amigo\nque no controlo del todo, ese SI iria con `todosExcepto\n[esa-maquina]`.<\/p>\nActo 1 - El caos<\/h1>\n
+--------------+\n | PASCUAL |\n | (cabeza) |\n +-------+------+\n | "que era... pascual123? capullo100?"\n |\n +-----------++-----------+-----------+-----------+\n | | | | |\n v v v v v\nGmail Banca AWS GitHub Tienda\n(?) (??) (?!) (...) (...)\n\nCada uno con SU password. Algunos repetidos.\nAlgunos en un excel. Algunos en post-its.\nCuando tienes 50 servicios, esto colapsa.\n<\/code><\/pre>\nActo 2 - pass, el primer\norden<\/h1>\n
pass<\/code> es password-store<\/em>, el password manager\nstandard unix<\/strong>. La filosofia:<\/p>\n\n
~\/.password-store\/correo\/gmail.gpg<\/code><\/li>\npass show<\/code>,\npass insert<\/code>, pass edit<\/code><\/li>\n<\/ul>\n+----------------------------------------------------------+\n| PASS - tu boveda personal |\n| |\n| ~\/.password-store\/ |\n| |-- correo\/gmail.gpg <-- cifrado con GPG |\n| |-- banca\/santander.gpg |\n| |-- github.gpg |\n| |-- telegram\/bot-token.gpg |\n| `-- ... |\n| |\n| Para leer: |\n| pass show banca\/santander |\n| | |\n| +-> gpg pide passphrase -> descifra -> OK |\n+----------------------------------------------------------+\n<\/code><\/pre>\nActo 3 - El problema\nmaquina<\/em><\/h1>\n
pass show telegram\/bots\/ambrosio-pass-bot\n |\n v\ngpg-agent: "passphrase, please" --> PINENTRY (popup)\n |\n v\nPascual teclea su passphrase\n |\n v\nToken disponible para el script\n<\/code><\/pre>\nT=20:00 Corte de luz. aurin se apaga sin gracia.\nT=20:05 Vuelve la luz. aurin arranca.\n gpg-agent arranca SIN passphrase cacheada.\n Pascual no esta. Nadie teclea pinentry.\nT=22:00 Cron lanza el reporte.\n Script intenta: pass show telegram\/bots\/...\n GPG: "Timeout" (no hay nadie para teclear)\n Script: FAIL.\nT=23:30 Pascual vuelve a casa.\n Mira el movil: cero reportes desde las 22:00.\n "que paso?"\n<\/code><\/pre>\nActo 4 - Las opciones<\/h1>\n
Opcion A - sops-nix<\/h2>\n
Opcion B - agenix<\/h2>\n
.age<\/code>\npor secreto. Integracion NixOS muy directa.<\/p>\nActo 5 - Que es agenix (con\nesquemas)<\/h1>\n
El concepto<\/h2>\n
+--------------------------------------------------------------+\n| agenix usa SSH host keys para cifrar\/descifrar secretos. |\n| |\n| Cada maquina del enjambre YA tiene una SSH host key: |\n| \/etc\/ssh\/ssh_host_ed25519_key (privada, root only) |\n| \/etc\/ssh\/ssh_host_ed25519_key.pub (publica) |\n| |\n| Esa key NO tiene passphrase. NixOS la genera al instalar. |\n| Solo root la lee. Es PERFECTA para descifrar al ARRANQUE |\n| sin presencia humana. |\n+--------------------------------------------------------------+\n<\/code><\/pre>\nCifrado: cuando guardas un\nsecreto<\/h2>\n
PASCUAL AGENIX\n | |\n | agenix -e telegram-bot-token.age |\n | -------------------------------------------->\n | |\n | | Lee secrets.nix:\n | | \u00bfquien puede leer\n | | este fichero?\n | |\n | | pubkeys = [\n | | aurin (host)\n | | cohete (host)\n | | retropix (host)\n | | pascual (user)\n | | ]\n | |\n | | Abre EDITOR con\n | <-- editor abierto, contenido vacio -------|\n | |\n | Pego "<TOKEN-FAKE-EJEMPLO>" y guardo |\n | -------------------------------------------->\n | |\n | | CIFRA con TODAS\n | | las pubkeys.\n | |\n | <-- fichero binario cifrado --------------- 588 bytes random\n | |\n | git add telegram-bot-token.age |\n | git commit |\n | --> commit en repo PUBLICO si quisieras |\n | (los .age son safe en git) |\n<\/code><\/pre>\nT=0 La maquina enciende. Inicio kernel.\n |\n v\nT=1 systemd levanta servicios base.\n |\n v\nT=2 +-----------------------------------------------------+\n | agenix.service |\n | |\n | for cada `age.secrets.X` declarado en la config: |\n | leer secrets\/X.age (cifrado) |\n | descifrar usando |\n | \/etc\/ssh\/ssh_host_ed25519_key (root only) |\n | escribir a \/run\/agenix\/X (tmpfs RAM) |\n | chown owner=passh, mode=0400 |\n +-----------------------------------------------------+\n |\n v\nT=3 \/run\/agenix\/telegram-bot-token <-- PLAINTEXT en RAM\n | solo passh puede leerlo\n v\nT=4 Resto de servicios arrancan, pueden leer secrets.\n |\n v\nARRANQUE COMPLETO. Sin Pascual. Sin pinentry. Sin GPG.\nLos scripts ya pueden hacer:\n BOT_TOKEN=$(cat \/run\/agenix\/telegram-bot-token)\n<\/code><\/pre>\nPor que es seguro<\/h2>\n
PROTECCION 1: la SSH host key esta en ROOT-ONLY\n Si alguien gana root, ya esta dentro.\n\nPROTECCION 2: \/run\/agenix\/ es TMPFS (RAM)\n No persiste en disco. Apagado = se evapora.\n\nPROTECCION 3: cada fichero es 0400 owner=usuario\n Solo el usuario que lo necesita lo lee.\n\nPROTECCION 4: el .age en git es BASURA sin las private keys\n Puedes commitear el repo en GitHub publico sin leak.\n<\/code><\/pre>\nEl intento ingenuo\n(least-privilege puro)<\/h2>\n
hosts\/<host>\/default.nix<\/code>. Y el\nsecrets.nix<\/code> listaba quien puede leer cada secret a\nmano.<\/p>\nANTI-PATRON (least-privilege a saco)\n\nsecrets\/secrets.nix:\n "telegram-bot-token.age".publicKeys = [ aurin pascual ]; <-- solo aurin\n "blog-deploy-key.age".publicKeys = [ cohete pascual ]; <-- solo cohete\n\nhosts\/aurin\/default.nix:\n age.secrets.telegram-bot-token = { ... };\n\nhosts\/cohete\/default.nix:\n age.secrets.blog-deploy-key = { ... };\n\nPROBLEMA: anadir machine-secret nuevo = tocar 2-3 ficheros\n repartidos por el repo. Cada host con SU lista.\n Asimetria. NO es clone-first.\n<\/code><\/pre>\nEl patron correcto\n(clone-first con opt-out)<\/h2>\n
PATRON (clone-first opt-out)\n\nsecrets\/secrets.nix:\n todos = [ aurin cohete retropix macbook vespino pascual ];\n\n "*.age".publicKeys = todos; <-- DEFAULT\n\n # opt-out raro:\n # "prod-only.age".publicKeys = todosExcepto [ retropix ];\n\nmodules\/base\/agenix.nix: <-- declarado en BASE\n age.secrets.telegram-bot-token = { ... };\n age.secrets.telegram-chat-id = { ... };\n # cualquier maquina que importe la base ya los descifra.\n\nVENTAJA: anadir secreto = un commit en UN sitio.\n Anadir clon = anadir su pubkey en UN sitio + agenix -r.\n Simetria total. Esto SI es clone-first.\n<\/code><\/pre>\nTrade-off honesto<\/h2>\n
Acto 7 - El layout en el\nrepo<\/h1>\n
~\/dotfiles\/\n|-- flake.nix <-- input agenix\n|-- modules\/\n| `-- base\/\n| `-- agenix.nix <-- import + CLI + age.secrets en BASE\n|-- secrets\/\n| |-- secrets.nix <-- allowlist (todos por default)\n| |-- telegram-bot-token.age <-- 588 bytes basura cifrada\n| `-- telegram-chat-id.age <-- 550 bytes basura cifrada\n`-- hosts\/\n `-- aurin\/\n `-- default.nix <-- nada de age.secrets aqui (clone-first)\n<\/code><\/pre>\nsecrets\/secrets.nix (la pieza\nclave)<\/h2>\n
<\/a>let<\/span><\/span>\n<\/a> aurin<\/span> =<\/span> "ssh-ed25519 AAAA...EBR... root@aurin"<\/span>;<\/span><\/span>\n<\/a> cohete<\/span> =<\/span> "ssh-ed25519 AAAA...INF... root@cohete"<\/span>;<\/span><\/span>\n<\/a> retropix<\/span> =<\/span> "ssh-ed25519 AAAA...AZO... root@retropix"<\/span>;<\/span><\/span>\n<\/a> pascual<\/span> =<\/span> "ssh-ed25519 AAAA...FTP... passh@aurin"<\/span>;<\/span><\/span>\n<\/a><\/span>\n<\/a> hosts<\/span> =<\/span> [<\/span> aurin cohete retropix ];<\/span><\/span>\n<\/a> todos<\/span> =<\/span> hosts ++<\/span> [<\/span> pascual ];<\/span><\/span>\n<\/a><\/span>\n<\/a> todosExcepto<\/span> =<\/span> exclude<\/span>:<\/span><\/span>\n<\/a> builtins<\/span>.<\/span>filter (<\/span>k<\/span>:<\/span> !(<\/span>builtins<\/span>.<\/span>elem k exclude))<\/span> todos;<\/span><\/span>\n<\/a>in<\/span><\/span>\n<\/a>{<\/span><\/span>\n<\/a> "telegram-bot-token.age"<\/span>.publicKeys<\/span> =<\/span> todos;<\/span><\/span>\n<\/a> "telegram-chat-id.age"<\/span>.publicKeys<\/span> =<\/span> todos;<\/span><\/span>\n<\/a> # ejemplo opt-out:<\/span><\/span>\n<\/a> # "prod-db-pass.age".publicKeys = todosExcepto [ retropix ];<\/span><\/span>\n<\/a>}<\/span><\/span><\/code><\/pre><\/div>\n<\/a>{<\/span> inputs<\/span>,<\/span> pkgs<\/span>,<\/span> ...<\/span> }<\/span>:<\/span>\n<\/a>{<\/span><\/span>\n<\/a> imports<\/span> =<\/span> [<\/span> inputs.<\/span>agenix.<\/span>nixosModules.<\/span>default ];<\/span><\/span>\n<\/a><\/span>\n<\/a> environment<\/span>.systemPackages<\/span> =<\/span> [<\/span><\/span>\n<\/a> inputs.<\/span>agenix.<\/span>packages.<\/span>${<\/span>pkgs.<\/span>stdenv.<\/span>hostPlatform.<\/span>system}<\/span>.<\/span>default<\/span>\n<\/a> ];<\/span><\/span>\n<\/a><\/span>\n<\/a> age<\/span>.secrets<\/span>.telegram-bot-token<\/span> =<\/span> {<\/span><\/span>\n<\/a> file<\/span> =<\/span> ..\/..\/secrets\/telegram-bot-token.age<\/span>;<\/span><\/span>\n<\/a> owner<\/span> =<\/span> "passh"<\/span>;<\/span><\/span>\n<\/a> mode<\/span> =<\/span> "400"<\/span>;<\/span><\/span>\n<\/a> };<\/span><\/span>\n<\/a> age<\/span>.secrets<\/span>.telegram-chat-id<\/span> =<\/span> {<\/span><\/span>\n<\/a> file<\/span> =<\/span> ..\/..\/secrets\/telegram-chat-id.age<\/span>;<\/span><\/span>\n<\/a> owner<\/span> =<\/span> "passh"<\/span>;<\/span><\/span>\n