Nix и кастомные TLS-сертификаты

0

2

Раз мне приходится на рабочей тачке пользоваться Centos 7, то решил я попробовать заюзать nix чтобы ставить свежий софт без гемороя. Все бы ничего, да юзает моя контора MitM для слежки за сотрудниками, да ещё и самоподписанные сертификаты на внутренних ресурсах. И тут всплыла проблема с nix:

Каким-то хером он не всегда подхватывает сертификаты с хост системы, хотя я вроде настроил это везде где можно (NIX_SSL_CERT_FILE и т.д.)

nix --extra-experimental-features nix-command show-config | grep ssl :
ssl-cert-file = /etc/pki/tls/cert.pem

в .config/home-manager/home.nix тоже добавил

let
  myCert = "/nix/store/gcsmigzhz2vlcviic2vmbclqa0xd0fwa-tls-ca-bundle.pem"; # use nix-store --add-fixed sha256 <path> to update if needed
in
{
 ...
 home.sessionVariables = {
    SSL_CERT_FILE = "${myCert}";
    NIX_SSL_CERT_FILE = "${myCert}";
    # EDITOR = "emacs";
  };
}

но при выполнении nix-shell '<home-manager>' -A install всё равно лезут ошибки:

Creating initial Home Manager generation...

warning: error: unable to download 'https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz': SSL peer certificate or SSH remote key was not OK (60); retrying in 312 ms
warning: error: unable to download 'https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz': SSL peer certificate or SSH remote key was not OK (60); retrying in 506 ms
warning: error: unable to download 'https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz': SSL peer certificate or SSH remote key was not OK (60); retrying in 1064 ms
warning: error: unable to download 'https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz': SSL peer certificate or SSH remote key was not OK (60); retrying in 2328 ms
error:
       … while calling the 'derivationStrict' builtin

         at /builtin/derivation.nix:9:12: (source not available)

       … while evaluating derivation 'home-manager-generation'
         whose name attribute is located at /nix/store/q300rswsxpr2kkng9azzsbfi9m8fdg50-nixpkgs/nixpkgs/pkgs/stdenv/generic/make-derivation.nix:303:7

       … while evaluating attribute 'buildCommand' of derivation 'home-manager-generation'

         at /nix/store/q300rswsxpr2kkng9azzsbfi9m8fdg50-nixpkgs/nixpkgs/pkgs/build-support/trivial-builders/default.nix:87:14:

           86|       enableParallelBuilding = true;
           87|       inherit buildCommand name;
             |              ^
           88|       passAsFile = [ "buildCommand" ]

       (stack trace truncated; use '--show-trace' to show the full trace)

       error: unable to download 'https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz': SSL peer certificate or SSH remote key was not OK (60)
Uh oh, the installation failed! Please create an issue at

    https://github.com/nix-community/home-manager/issues

nix установлен в single-user mode.

Как эту хрень заставить уважать SSL_CERT_FILE?

Перемещено hobbit из general

←	Падает ssh подключение к серверу, после того как запускаю на нем Wireguard

Запуск rsyslogd Solaris 10

→

Что интересно, установка OPENSSL_CONF имеет какой-то эффект на nix-shell, т.к. без Options = UnsafeLegacyRenegotiation оно показывает другую ошибку.

~~cocucka~~ ★★★★☆
(13.06.23 17:19:29 MSK) автор топика

Ответ на: комментарий от cocucka 13.06.23 17:19:29 MSK

Но трюк с добавлением CertificateBundle в openssl.cnf не канает. Ни с дефолтным системным путём, ни с путём из nix-store.

~~cocucka~~ ★★★★☆
(13.06.23 17:21:57 MSK) автор топика
Последнее исправление: cocucka 13.06.23 17:22:17 MSK (всего исправлений: 1)

Кто тут у нас nix-guru? hateyoufeel, shatsky, James_Holden.

~~cocucka~~ ★★★★☆
(13.06.23 17:24:10 MSK) автор топика

Ответ на: комментарий от cocucka 13.06.23 17:24:10 MSK

nix-guru

И t184256. Он даже ‘обещал’ (шутка) статью забахать, чтобы раскрыть все тайны NixOS для неофитов, интересующихся и хейтеров. :)

krasnh ★★★
(13.06.23 17:46:49 MSK)
Последнее исправление: krasnh 13.06.23 17:48:03 MSK (всего исправлений: 1)

Ответ на: комментарий от krasnh 13.06.23 17:46:49 MSK

Да мне б хоть чуть-чуть прикоснуться к тайному знанию. ChatGPT оказался бессилен помочь, не говоря уж о моём google-fu.

~~cocucka~~ ★★★★☆
(13.06.23 17:55:36 MSK) автор топика

curl -I /nix/store/gcsmigzhz2vlcviic2vmbclqa0xd0fwa-tls-ca-bundle.pem https://git.sr.ht работает? Если нет, как ты делал этот bundle?

t184256 ★★★★★
(13.06.23 18:39:31 MSK)
Последнее исправление: t184256 13.06.23 18:39:42 MSK (всего исправлений: 1)

home.sessionVariables = ...

Creating initial Home Manager generation…

Еще не примененная переменная окружения внезапно не имеет эффекта.

t184256 ★★★★★
(13.06.23 18:41:57 MSK)

Ответ на: комментарий от t184256 13.06.23 18:39:31 MSK

Работает, конечно. Системные утилиты и менеджеры пакетов (pip, cargo и прочие) спокойно ходят что в интернет, что в локальные зеркала.

Если нет, как ты делал этот bundle?

Его не я делал, я просто поставил rpm пакет с нашими CA, которые везде используются.

~~cocucka~~ ★★★★☆
(13.06.23 18:59:11 MSK) автор топика

Ответ на: комментарий от t184256 13.06.23 18:41:57 MSK

Ну я и не надеялся, что оно поможет, но попробовать всё равно попробовал. Тут вопрос почему nix игнорирует явно указанный сертификат бандл и если его можно как-то ещё подпихнуть (например заоверрайдить cacert как-нибудь)

~~cocucka~~ ★★★★☆
(13.06.23 19:01:37 MSK) автор топика

Ответ на: комментарий от cocucka 13.06.23 19:01:37 MSK

почему nix игнорирует явно указанный сертификат бандл

Хороший вопрос, не знаю.

nix установлен в single-user mode.

С демоном или без демона? Если с демоном, перезапустить его. Если без, попробуй задать через переменные окружения, посмотреть что он открывает через strace…

t184256 ★★★★★
(13.06.23 19:09:56 MSK)
Последнее исправление: t184256 13.06.23 19:10:44 MSK (всего исправлений: 1)

Ответ на: комментарий от t184256 13.06.23 19:09:56 MSK

А разве single-user не означает «без демона»?

theNamelessOne ★★★★★
(13.06.23 19:25:11 MSK)

Ответ на: комментарий от theNamelessOne 13.06.23 19:25:11 MSK

Означает. Че-то туплю.

t184256 ★★★★★
(13.06.23 19:26:08 MSK)

Погоди. А при этом в Centos, в переменных окружения, задана NIX_SSL_CERT_FILE до запуска nix-shell?

James_Holden ★★★
(13.06.23 21:30:37 MSK)

Ответ на: комментарий от James_Holden 13.06.23 21:30:37 MSK

Да, конечно. И NIX_SSL_CERT_FILE, и просто SSL_CERT_FILE. В текущем сеансе шелла в котором запускаю nix-shell, демона нет, поэтому должно быть достаточно.

~~cocucka~~ ★★★★☆
(13.06.23 21:43:19 MSK) автор топика

Ответ на: комментарий от cocucka 13.06.23 21:43:19 MSK

Ну судя по референсу должно так фурычить, наверное баг какой-то.

James_Holden ★★★
(13.06.23 21:45:45 MSK)

Ответ на: комментарий от James_Holden 13.06.23 21:45:45 MSK

Придется дебажить походу.

~~cocucka~~ ★★★★☆
(13.06.23 21:47:19 MSK) автор топика

Single-user, SSL_CERT_FILE, кто ж вам с такими раскладами поможет )

А вне home-manager все работает? Если, например, nix develop https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz сказать, то что будет?

(возможно, установочный скрипт home-manager по дороге теряет NIX_SSL_CERT_FILE?)

А если nix shell nixpkgs#hello, то работает?

akho ★
(13.06.23 22:19:48 MSK)
Последнее исправление: akho 13.06.23 22:21:32 MSK (всего исправлений: 1)

Ответ на: комментарий от akho 13.06.23 22:19:48 MSK

Что-то работает, например, nix-shell с neovim, что-то нет, vscode не ставится с такой же ошибкой.

~~cocucka~~ ★★★★☆
(13.06.23 22:40:47 MSK) автор топика

Ответ на: комментарий от cocucka 13.06.23 22:40:47 MSK

работает nix-shell с neovim, vscode не ставится

(звучит разумно)

То есть почему-то кешированные пакетики с https://cache.nixos.org скачивает, а левак — нет. Занятно.

akho ★
(13.06.23 23:46:05 MSK)

https://github.com/NixOS/nix/issues/4173

https://github.com/NixOS/nix/pull/7312

tldr - попробуй nix 2.16

~~Tsukasa~~ ★
(14.06.23 09:18:33 MSK)
Последнее исправление: Tsukasa 14.06.23 09:18:41 MSK (всего исправлений: 1)

Ответ на: комментарий от Tsukasa 14.06.23 09:18:33 MSK

Дык у меня последний релиз и стоит. Всё равно не пашет.

~ » nix --version                                                                                                                                                                               
nix (Nix) 2.16.1

~~cocucka~~ ★★★★☆
(14.06.23 09:26:24 MSK) автор топика

Ответ на: комментарий от akho 13.06.23 23:46:05 MSK

Видимо какой-то «фетчер» не поддерживает переопределение сертификатов, как тут заметили: Nix и кастомные TLS-сертификаты (комментарий)

Будет время сегодня – поковыряю

~~cocucka~~ ★★★★☆
(14.06.23 09:27:33 MSK) автор топика

Ответ на: комментарий от cocucka 14.06.23 09:27:33 MSK

Как временное решение - можешь попробовать что-то вроде такого:

wget https://git.sr.ht/~rycee/nmd/archive/abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz
nix-store --add-fixed sha256 abb15317ebd17e5a0a7dd105e2ce52f2700185a8.tar.gz

~~Tsukasa~~ ★
(14.06.23 10:22:15 MSK)

Ответ на: комментарий от cocucka 14.06.23 09:27:33 MSK

Наверное. Оба косяка с fetchurl. Он в принципе не должен проверять сертификат (потому что sha все равно проверяется). В fetchurl.cc строка 40.

            request.verifyTLS = false;

Дальше в filetransfer.cc имеем

            if (request.verifyTLS) {
                if (settings.caFile != "")
                    curl_easy_setopt(req, CURLOPT_CAINFO, settings.caFile.get().c_str());
            } else {
                curl_easy_setopt(req, CURLOPT_SSL_VERIFYPEER, 0);
                curl_easy_setopt(req, CURLOPT_SSL_VERIFYHOST, 0);
            }

то есть caFile он и правда не увидит; но вроде как и не надо?

Дальше моих познаний в С++ и libcurl не хватит. Наверное, помогло бы CURLOPT_CAINFO ставить в любом случае, но источник проблемы мне неясен и тестировать это я не готов.

akho ★
(14.06.23 13:18:20 MSK)
Последнее исправление: akho 14.06.23 13:19:21 MSK (всего исправлений: 1)

Ответ на: комментарий от akho 14.06.23 13:18:20 MSK

Фишка в том, что libcurl должен сам подхватывать сертификаты, если они указаны в переменных окружения, но если nix запускает установку home-manager в изолированном окружении, то походу эти сертификаты там недоступны и не видны для libcurl. В то же время, openssl.cnf там виден и применяется, что очень странно.

~~cocucka~~ ★★★★☆
(14.06.23 13:35:07 MSK) автор топика

Ответ на: комментарий от cocucka 14.06.23 13:35:07 MSK

Странно, что VERIFYPEER для fetchurl выключен, но ломается. С бинарными кешами сертификат должен проверяться, насколько я понимаю, и успешно подвязывается и проверяется.

akho ★
(14.06.23 14:21:36 MSK)

Ответ на: комментарий от akho 14.06.23 13:18:20 MSK

Он в принципе не должен проверять сертификат (потому что sha все равно проверяется)

Какого черта? А если я не хочу, чтобы MITM-атакующий видел, что я качаю?

t184256 ★★★★★
(14.06.23 14:34:35 MSK)

Ответ на: комментарий от t184256 14.06.23 14:34:35 MSK

Вот коммит: https://github.com/NixOS/nix/commit/5db358d4d78aea7204a8f22c5bf2a309267ee038

Можно написать в спортлото, что модель угроз неправильная

akho ★
(14.06.23 15:11:26 MSK)

Ответ на: комментарий от akho 14.06.23 15:11:26 MSK

(там даже в каментах уже пишут, спортлото не отвечает; что характерно, коммит из 2015, комменты из 2019. Видимо, раз в четыре года кого-то беспокоит этот вопрос)

akho ★
(14.06.23 15:22:03 MSK)

Ответ на: комментарий от cocucka 14.06.23 13:35:07 MSK

Я подумал еще раз! там же fetchurl не из nix, а из nixpkgs.

Впрочем, все то же самое: если ему дан хеш, похожий на настоящий, то curl должен запускаться с флагом --insecure.

Фетчеры не нужно изолировать от хост системы, потому что у них фиксированный результат — если хеш сошелся, то и неважно, какие конфиги он читал.

akho ★
(14.06.23 20:42:14 MSK)

Ответ на: комментарий от akho 14.06.23 13:18:20 MSK

Короче, я нашёл где затык это fetchTarball, который не ставит verifyTLS = false, а home-manager именно его использует: https://github.com/nix-community/home-manager/blob/b9046172a580a648045e7c2f7077cc143936ad8f/docs/default.nix#L10

И это без бубна или пулл-реквеста походу не поправить. Единственный вариант, который я сейчас вижу это пихнуть тарбол в кеш никса руками и сделать вид, что так и надо.

~~cocucka~~ ★★★★☆
(23.06.23 14:18:17 MSK) автор топика

Ответ на: комментарий от cocucka 23.06.23 14:18:17 MSK

ЧСХ nix store prefetch-file валится с такой же ошибкой. Говно. Судя по strace он читает cabundle из системы, но почему-то не может проверить сертификат всё равно.

~~cocucka~~ ★★★★☆
(23.06.23 14:19:49 MSK) автор топика

Ответ на: комментарий от cocucka 23.06.23 14:19:49 MSK

Нет, это я говно, точнее тот, кто ставил систему и поставил не ту версию сертификатов. А ещё curl на хосте говно ибо хавал просроченный CA и не возбухал. После установки свежего пакета с сертификатами всё заработало.

~~cocucka~~ ★★★★☆
(23.06.23 15:59:30 MSK) автор топика

Ответ на: комментарий от cocucka 23.06.23 15:59:30 MSK

Так в итоге проблема была только с сертификатами или ещё и с fetchTarball?

theNamelessOne ★★★★★
(23.06.23 16:37:09 MSK)

Ответ на: комментарий от theNamelessOne 23.06.23 16:37:09 MSK

fetchTarball странный, он почему-то работает не так как fetchUrl в плане если есть хеш, то он всё равно хочет сертификат.

~~cocucka~~ ★★★★☆
(23.06.23 16:51:07 MSK) автор топика

Ответ на: комментарий от theNamelessOne 23.06.23 16:37:09 MSK

Я так понял, что:

сертификаты были неправильные;
большинство фетчеров при наличии хеша не проверяют tls; это может быть проблемой само по себе; зато работало с неправильными сертификатами;
fetchTarball молодец, и проверяет; он корректно ломался;
почему ломалась установка vs code, где pkgs.fetchurl и вроде не должно быть проверки — неизвестно;
в документации по фетчерам ничего не пишут, и ведут они себя как придется.

akho ★
(23.06.23 16:54:30 MSK)

Ответ на: комментарий от cocucka 23.06.23 16:51:07 MSK

Неясно, почему vs code не ставился. Но в целом вроде итог такой, что без правильных сертификатов на https надежды мало. Кажется разумным

akho ★
(23.06.23 16:56:00 MSK)

Ответ на: комментарий от akho 23.06.23 16:56:00 MSK

Ну да, что меня напрягает, так это то, что хостовый курл спокойненько с этими просроченными сертификатами работал. Что-то наши одмины нарукожопили.

~~cocucka~~ ★★★★☆
(23.06.23 16:58:09 MSK) автор топика

←	Падает ssh подключение к серверу, после того как запускаю на нем Wireguard

Admin

Запуск rsyslogd Solaris 10

→

Похожие темы