nixos/modules/services/web-apps/eintopf.nix

   1 { config, lib, pkgs, ... }:
   2
   3 with lib;
   4
   5 let
   6
   7   cfg = config.services.eintopf;
   8
   9 in {
  10   options.services.eintopf = {
  11
  12     enable = mkEnableOption "Eintopf community event calendar web app";
  13
  14     settings = mkOption {
  15       type = types.attrsOf types.str;
  16       default = { };
  17       description = ''
  18         Settings to configure web service. See
  19         <https://codeberg.org/Klasse-Methode/eintopf/src/branch/main/DEPLOYMENT.md>
  20         for available options.
  21       '';
  22       example = literalExpression ''
  23         {
  24           EINTOPF_ADDR = ":1234";
  25           EINTOPF_ADMIN_EMAIL = "admin@example.org";
  26           EINTOPF_TIMEZONE = "Europe/Berlin";
  27         }
  28       '';
  29     };
  30
  31     secrets = lib.mkOption {
  32       type = with types; listOf path;
  33       description = ''
  34         A list of files containing the various secrets. Should be in the
  35         format expected by systemd's `EnvironmentFile` directory.
  36       '';
  37       default = [ ];
  38     };
  39
  40   };
  41
  42   config = mkIf cfg.enable {
  43
  44     systemd.services.eintopf = {
  45       description = "Community event calendar web app";
  46       wantedBy = [ "multi-user.target" ];
  47       after = [ "network-online.target" ];
  48       wants = [ "network-online.target" ];
  49       environment = cfg.settings;
  50       serviceConfig = {
  51         ExecStart = "${pkgs.eintopf}/bin/eintopf";
  52         WorkingDirectory = "/var/lib/eintopf";
  53         StateDirectory = "eintopf" ;
  54         EnvironmentFile = [ cfg.secrets ];
  55
  56         # hardening
  57         AmbientCapabilities = "";
  58         CapabilityBoundingSet = "" ;
  59         DevicePolicy = "closed";
  60         DynamicUser = true;
  61         LockPersonality = true;
  62         MemoryDenyWriteExecute = true;
  63         NoNewPrivileges = true;
  64         PrivateDevices = true;
  65         PrivateTmp = true;
  66         PrivateUsers = true;
  67         ProcSubset = "pid";
  68         ProtectClock = true;
  69         ProtectControlGroups = true;
  70         ProtectHome = true;
  71         ProtectHostname = true;
  72         ProtectKernelLogs = true;
  73         ProtectKernelModules = true;
  74         ProtectKernelTunables = true;
  75         ProtectProc = "invisible";
  76         ProtectSystem = "strict";
  77         RemoveIPC = true;
  78         RestrictAddressFamilies = [ "AF_INET" "AF_INET6" ];
  79         RestrictNamespaces = true;
  80         RestrictRealtime = true;
  81         RestrictSUIDSGID = true;
  82         SystemCallArchitectures = "native";
  83         SystemCallFilter = [ "@system-service" "~@privileged" ];
  84         UMask = "0077";
  85       };
  86     };
  87
  88   };
  89
  90   meta.maintainers = with lib.maintainers; [ onny ];
  91
  92 }