From 293b48f4946cb1e88f21abe665dcd18106b48e11 Mon Sep 17 00:00:00 2001
From: Valentin <valentin@fricklerhandwerk.de>
Date: Tue, 11 Nov 2025 13:34:09 +0100
Subject: Konfiguration klarer nach Aspekten unterteilt
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Insbesondere behandelt das Modul für die Website nur noch dieses spezifische Anliegen.
---
 tharos/security.nix | 46 ++++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 46 insertions(+)
 create mode 100644 tharos/security.nix

(limited to 'tharos/security.nix')

diff --git a/tharos/security.nix b/tharos/security.nix
new file mode 100644
index 0000000..03b59dc
--- /dev/null
+++ b/tharos/security.nix
@@ -0,0 +1,46 @@
+{
+  self,
+  inputs,
+  ...
+}:
+{
+  flake.machines.tharos = {
+    nixos =
+      {
+        lib,
+        modulesPath,
+        ...
+      }:
+      {
+        # Kein Login für Nutzer die nicht explizit deklariert sind
+        users.mutableUsers = false;
+        users.users = lib.mapAttrs (username: keyFiles: {
+          isNormalUser = true;
+          openssh.authorizedKeys.keyFiles = keyFiles;
+          # ANMERKUNG: Der Einfachheit halber sind bis auf Weiteres alle Nutzer mit SSH-Zugang auch Administratoren
+          extraGroups = [ "wheel" ];
+        }) self.keys;
+
+        /*
+          `sudo` über SSH ohne Passworteingabe
+          ANMERKUNG: Nutzer sollten in ihrem ` ~/.ssh/config` für die Maschine einstellen:
+
+          ForwardAgent: yes
+        */
+        security.pam.sshAgentAuth.enable = true;
+        security.pam.services.sudo.sshAgentAuth = true;
+
+        # Nur Administratoren können den angemeldeten Benutzer wechseln
+        security.pam.services.su.requireWheel = true;
+
+        networking.firewall.allowPing = true;
+        services.openssh = {
+          enable = true;
+          settings = {
+            PasswordAuthentication = false;
+            PermitRootLogin = "prohibit-password";
+          };
+        };
+      };
+  };
+}
-- 
cgit v1.2.3