10分钟快速上手 agenix：NixOS 密钥加密完整指南

10分钟快速上手 agenix：NixOS 密钥加密完整指南

【免费下载链接】agenixage-encrypted secrets for NixOS and Home manager项目地址: https://gitcode.com/gh_mirrors/ag/agenix

agenix 是一款专为 NixOS 和 Home Manager 设计的密钥加密工具，它采用 age 加密算法保护系统敏感信息，让你在配置文件中安全管理密码、API 密钥等私密数据。本文将带你快速掌握 agenix 的核心功能与使用方法，轻松实现 NixOS 环境下的密钥安全管理。

为什么选择 agenix？解密 NixOS 密钥管理痛点

在 NixOS 系统中，配置文件通常以纯文本形式存储，直接包含密码等敏感信息会带来严重安全风险。agenix 通过以下特性解决这一问题：

• 端到端加密：使用 age 算法加密敏感数据，仅授权设备可解密
• 无缝集成 Nix 生态：完美适配 NixOS 和 Home Manager 配置体系
• 版本控制友好：加密后的文件可安全提交至 Git 仓库
• 灵活的密钥管理：支持多用户、多设备的密钥授权机制

准备工作：agenix 安装的 4 种简单方法

根据你的 Nix 环境选择以下安装方式：

通过 Nix Flakes 安装（推荐）

适合使用 Nix Flakes 的现代 NixOS 系统，在flake.nix中添加输入：

inputs = { agenix.url = "github:ryantm/agenix"; };

通过 Nix Channel 安装

传统 NixOS 系统可使用官方频道：

nix-channel --add https://github.com/ryantm/agenix/archive/main.tar.gz agenix nix-channel --update nix-env -iA agenix

通过 Niv 管理依赖

Niv 用户可执行：

niv add ryantm/agenix

手动下载安装

从项目仓库获取最新版本：

git clone https://gitcode.com/gh_mirrors/ag/agenix cd agenix nix-env -if .

快速入门：3 步实现密钥加密与解密

第 1 步：生成 age 密钥对

首先创建用于加密解密的密钥对：

age-keygen -o ~/.config/agenix/key.txt

公钥会自动显示，格式类似age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p，保存此公钥用于后续授权。

第 2 步：创建加密配置

1. 创建密钥存储目录：

mkdir -p ./secrets

2. 创建未加密的密钥文件（例如secrets/password.nix）：

{ agePublicKey = "age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p"; }

3. 使用 agenix 加密文件：

agenix -e secrets/password.nix

加密后的文件会保存为secrets/password.nix.age

第 3 步：在 NixOS 配置中使用加密密钥

在/etc/nixos/configuration.nix中引用加密密钥：

{ config, pkgs, ... }: let agenix = import (fetchTarball "https://github.com/ryantm/agenix/archive/main.tar.gz") { }; in { imports = [ agenix.nixosModules.age ]; age.secrets.password = { file = ./secrets/password.nix.age; owner = "root"; group = "root"; mode = "0400"; }; environment.systemPackages = [ pkgs.agenix ]; }

高级技巧：多设备密钥管理与权限控制

管理多用户/设备访问权限

编辑secrets.nix文件配置多个公钥：

{ "secrets/password.nix.age" = { publicKeys = [ "age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p" # 设备1 "age1qqw6n0x4z4a56k7y7g8m5j3x5v7u9z0b2c4d6f8h0j2k4m6n8p0q2r4" # 设备2 ]; }; }

密钥轮换最佳实践

定期更新密钥增强安全性：

1. 生成新密钥对
2. 更新secrets.nix中的公钥列表
3. 重新加密所有密钥：

agenix -r

常见问题解决：agenix 新手疑难解答

解密失败怎么办？

• 检查密钥文件路径是否正确
• 确认当前用户拥有解密权限
• 验证公钥是否匹配

如何查看已加密文件内容？

使用解密查看命令：

agenix -d secrets/password.nix.age

与 Home Manager 集成方法

在home.nix中添加配置：

{ imports = [ (import ../agenix).homeManagerModules.age ]; age.secrets.mysecret = { file = ./secrets/mysecret.age; }; }

总结：让 NixOS 密钥管理更安全高效

通过 agenix，你可以在保持 Nix 配置文件完整性的同时，确保敏感信息得到妥善保护。无论是个人工作站还是企业服务器，agenix 都能提供简单而强大的密钥管理解决方案。立即尝试，体验 NixOS 生态中更安全的配置管理方式！

更多详细文档请参考项目中的 doc/ 目录，包含从基础到高级的完整使用指南。

【免费下载链接】agenixage-encrypted secrets for NixOS and Home manager项目地址: https://gitcode.com/gh_mirrors/ag/agenix