vuls: init at 0.27.0
[NixPkgs.git] / nixos / modules / services / web-servers / pomerium.nix
blob441475f91ce6cf280cf33643b4bdcaa90a52b652
1 { config, lib, pkgs, ... }:
3 with lib;
5 let
6   format = pkgs.formats.yaml {};
7 in
9   options.services.pomerium = {
10     enable = mkEnableOption "the Pomerium authenticating reverse proxy";
12     configFile = mkOption {
13       type = with types; nullOr path;
14       default = null;
15       description = "Path to Pomerium config YAML. If set, overrides services.pomerium.settings.";
16     };
18     useACMEHost = mkOption {
19       type = with types; nullOr str;
20       default = null;
21       description = ''
22         If set, use a NixOS-generated ACME certificate with the specified name.
24         Note that this will require you to use a non-HTTP-based challenge, or
25         disable Pomerium's in-built HTTP redirect server by setting
26         http_redirect_addr to null and use a different HTTP server for serving
27         the challenge response.
29         If you're using an HTTP-based challenge, you should use the
30         Pomerium-native autocert option instead.
31       '';
32     };
34     settings = mkOption {
35       description = ''
36         The contents of Pomerium's config.yaml, in Nix expressions.
38         Specifying configFile will override this in its entirety.
40         See [the Pomerium
41         configuration reference](https://pomerium.io/reference/) for more information about what to put
42         here.
43       '';
44       default = {};
45       type = format.type;
46     };
48     secretsFile = mkOption {
49       type = with types; nullOr path;
50       default = null;
51       description = ''
52         Path to file containing secrets for Pomerium, in systemd
53         EnvironmentFile format. See the systemd.exec(5) man page.
54       '';
55     };
56   };
58   config = let
59     cfg = config.services.pomerium;
60     cfgFile = if cfg.configFile != null then cfg.configFile else (format.generate "pomerium.yaml" cfg.settings);
61   in mkIf cfg.enable ({
62     systemd.services.pomerium = {
63       description = "Pomerium authenticating reverse proxy";
64       wants = [ "network.target" ] ++ (optional (cfg.useACMEHost != null) "acme-finished-${cfg.useACMEHost}.target");
65       after = [ "network.target" ] ++ (optional (cfg.useACMEHost != null) "acme-finished-${cfg.useACMEHost}.target");
66       wantedBy = [ "multi-user.target" ];
67       environment = optionalAttrs (cfg.useACMEHost != null) {
68         CERTIFICATE_FILE = "fullchain.pem";
69         CERTIFICATE_KEY_FILE = "key.pem";
70       };
71       startLimitIntervalSec = 60;
72       script = ''
73         if [[ -v CREDENTIALS_DIRECTORY ]]; then
74           cd "$CREDENTIALS_DIRECTORY"
75         fi
76         exec "${pkgs.pomerium}/bin/pomerium" -config "${cfgFile}"
77       '';
79       serviceConfig = {
80         DynamicUser = true;
81         StateDirectory = [ "pomerium" ];
83         PrivateUsers = false;  # breaks CAP_NET_BIND_SERVICE
84         MemoryDenyWriteExecute = false;  # breaks LuaJIT
86         NoNewPrivileges = true;
87         PrivateTmp = true;
88         PrivateDevices = true;
89         DevicePolicy = "closed";
90         ProtectSystem = "strict";
91         ProtectHome = true;
92         ProtectControlGroups = true;
93         ProtectKernelModules = true;
94         ProtectKernelTunables = true;
95         ProtectKernelLogs = true;
96         RestrictAddressFamilies = "AF_UNIX AF_INET AF_INET6 AF_NETLINK";
97         RestrictNamespaces = true;
98         RestrictRealtime = true;
99         RestrictSUIDSGID = true;
100         LockPersonality = true;
101         SystemCallArchitectures = "native";
103         EnvironmentFile = cfg.secretsFile;
104         AmbientCapabilities = [ "CAP_NET_BIND_SERVICE" ];
105         CapabilityBoundingSet = [ "CAP_NET_BIND_SERVICE" ];
107         LoadCredential = optionals (cfg.useACMEHost != null) [
108           "fullchain.pem:/var/lib/acme/${cfg.useACMEHost}/fullchain.pem"
109           "key.pem:/var/lib/acme/${cfg.useACMEHost}/key.pem"
110         ];
111       };
112     };
114     # postRun hooks on cert renew can't be used to restart Nginx since renewal
115     # runs as the unprivileged acme user. sslTargets are added to wantedBy + before
116     # which allows the acme-finished-$cert.target to signify the successful updating
117     # of certs end-to-end.
118     systemd.services.pomerium-config-reload = mkIf (cfg.useACMEHost != null) {
119       # TODO(lukegb): figure out how to make config reloading work with credentials.
121       wantedBy = [ "acme-finished-${cfg.useACMEHost}.target" "multi-user.target" ];
122       # Before the finished targets, after the renew services.
123       before = [ "acme-finished-${cfg.useACMEHost}.target" ];
124       after = [ "acme-${cfg.useACMEHost}.service" ];
125       # Block reloading if not all certs exist yet.
126       unitConfig.ConditionPathExists = [ "${config.security.acme.certs.${cfg.useACMEHost}.directory}/fullchain.pem" ];
127       serviceConfig = {
128         Type = "oneshot";
129         TimeoutSec = 60;
130         ExecCondition = "/run/current-system/systemd/bin/systemctl -q is-active pomerium.service";
131         ExecStart = "/run/current-system/systemd/bin/systemctl --no-block restart pomerium.service";
132       };
133     };
134   });