NixOS와 비밀값

Context

NixOS의 Nix store가 전역 읽기 권한을 가짐에 따라 설정 파일 내 평문 비밀값 노출 위험 존재. builtins.readFile 사용 시 평가 단계에서 값이 store에 포함되어 보안 취약점이 발생하는 구조적 한계 분석.

Technical Solution

• SSH 공개키 기반의 비대칭 암호화 체계를 도입하여 Git 저장소 내 비밀값 암호화 저장
• 부팅 및 활성화 시점에 호스트 SSH 개인키를 이용해 암호화된 값을 복호화하는 프로세스 설계
• 복호화된 평문 데이터를 디스크가 아닌 tmpfs 기반의 /run/secrets 또는 /run/agenix 경로에 마운트하여 휘발성 저장
• sops-nix를 통한 YAML 기반의 다중 비밀값 그룹화로 대규모 설정 관리 효율성 확보
• agenix를 활용한 '1비밀값-1파일' 매핑 구조로 서비스별 최소 권한 접근 제어 구현
• 템플릿 기능을 활용해 평문 설정과 비밀값 자리표시자를 결합한 동적 설정 파일 생성