nixos/modules/services/security/munge.nix

   1 {
   2   config,
   3   lib,
   4   pkgs,
   5   ...
   6 }:
   7
   8 with lib;
   9
  10 let
  11
  12   cfg = config.services.munge;
  13
  14 in
  15
  16 {
  17
  18   ###### interface
  19
  20   options = {
  21
  22     services.munge = {
  23       enable = mkEnableOption "munge service";
  24
  25       password = mkOption {
  26         default = "/etc/munge/munge.key";
  27         type = types.path;
  28         description = ''
  29           The path to a daemon's secret key.
  30         '';
  31       };
  32
  33     };
  34
  35   };
  36
  37   ###### implementation
  38
  39   config = mkIf cfg.enable {
  40
  41     environment.systemPackages = [ pkgs.munge ];
  42
  43     users.users.munge = {
  44       description = "Munge daemon user";
  45       isSystemUser = true;
  46       group = "munge";
  47     };
  48
  49     users.groups.munge = { };
  50
  51     systemd.services.munged = {
  52       wantedBy = [ "multi-user.target" ];
  53       wants = [
  54         "network-online.target"
  55         "time-sync.target"
  56       ];
  57       after = [
  58         "network-online.target"
  59         "time-sync.target"
  60       ];
  61
  62       path = [
  63         pkgs.munge
  64         pkgs.coreutils
  65       ];
  66
  67       serviceConfig = {
  68         ExecStartPre = "+${pkgs.coreutils}/bin/chmod 0400 ${cfg.password}";
  69         ExecStart = "${pkgs.munge}/bin/munged --foreground --key-file ${cfg.password}";
  70         User = "munge";
  71         Group = "munge";
  72         StateDirectory = "munge";
  73         StateDirectoryMode = "0711";
  74         Restart = "on-failure";
  75         RuntimeDirectory = "munge";
  76       };
  77
  78     };
  79
  80   };
  81
  82 }