Allow sudo to runmirrors in the current location

Make sudo set a special path for calls as archvsync user

This allows consumers (primarily dak) to call tools of the archvsync
user without path.  This makes later switch to the packaged version
easier.

Remove philp from experimental_apache

Upgraded to stretch.

Redirect old children-distros page to new derivatives page

include with the correct name

set vm dirty values

do extra grub for grnet-node01,grnet-node02

set elevator=deadline at grnet

Add kantuser

Add kantuser volume at ubc

set mode of /etc/default/locale to a+r

Add extra netnod servers to ferm

named: add more dnsnode server ACLs

Remove /etc/init.d sudo to spamassassin and amavis - listmaster can go via service(8)

give %list access to service {spamassassin,amavis} {reload,restart,stop,start}

sudo on listhosts: give list group access to postcat as postfix

Once more with feeling

Enable wsgi-py3 for tracker

remove ticharich from experimental_apache group

It's now on stretch

Reduce WAL retention from 21 to 14 days for bmdb1/debsources

Merge remote-tracking branch 'stapelberg/mimetype'

* stapelberg/mimetype:
  manpages: force content-type to text/plain for non-html .gz files

manpages: force content-type to text/plain for non-html .gz files

Distinguish ssl/nossl access logs for planet-backend

Revert "install newer version of devscripts"

devscripts was updated in stretch-backports and now the hardcoded
version doesn't exist.

This reverts commit 55e8d03c4d97a031237a43a1aec3830b0dab5fc7.

Fix planet-backend.d.o

add ssl vhost for planet-backend

Fix http://www.debian.org

Thanks, paravoid

picconi and pkgmirror-csail are on stretch, remove from experimental_apache

Fixup sources.d.o config

Rotate fastly syslogs

Reload syslog-ng after daemon.log rotation to prevent cron spam

seger's dak db is on postgresql 9.6

Disable ftp:// on security-master

Turn off ftp:// on ftp.debian.org

Turn off ftp:// on security mirrors

Add debsources role for sources.d.o

serial options that work on clementi hopefully will also work on czerny

Do not do serial on manda-hosts just yet

puppet managed grub on celemtni, czerny

Disable OCSP stapling on the default vhost

It can't work since we don't run an OCSP responder.

Further restrict access to cgi-bin on popcon.d.o

Remove unneeded bits from the http popcon vhost, and enable HSTS

Import popcon.d.o apache vhost config

Add ssl key/cert for popcon

redirect www.d.o to https

www: Split out onion hostname

Split common-d.o into common-www.d.o and -inner

Add a comment

remove obsolete ServerAlias entries for www-other

redirect www-other (i.e. debian.org, CC.d.o, www.d.CC) to https on www.debian.org now

reject package file names that could be used to install local files.  Issue reported by Julian Andres Klode.

Cleanup experimental_apache role

Not needed on hosts running stretch

Merge branch 'master' of ssh://handel.debian.org/~/dsa-puppet

remove custom casulana rules

RT#6923 - More users and groups

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add mail filters for some aliases (rt#6227)

- add sender callout for leader, patents, trademark
- add greylisting for patents, trademark
- add RBLs for patents, trademark
- add RHSBLs for leader, patents, treasurer, trademark

always a typo

prune ssh ACLs for luca

add more casulana rules for br1

add masquerade rules for casulana virtual machines

undo casulana custom roles

fix up the custom cloud-admins rule

custom rule for cloud-builds on casaluna

add sudo access to group cloud-builds

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

bmdb1 main cluster is back on timeline 1

Ensure mirror-health is restarted after the daemon-reload

Drop klecker from ftp.d.o mirror-health checking

klecker is not part of the set of backends that Fastly uses, so
checking against it has no value and might leave us unhealthy if
klecker is ahead.

mask sys-kernel-debug-tracing.mount and sys-kernel-debug.mount

Add a systemd::mask

Fix octal number in python script to it compiles

Revert "Use RedirectPermanent instead of RewriteRule"

This reverts commit abb8a9a1d0c72a616e297be5a1b091b6c9a74191.

Use RedirectPermanent instead of RewriteRule

Better debian-ports.org/debian-cd redirection

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop remaining debian-ports-cd code

Redirect ftp.ports.debian.org/debian-ports-cd to cdimage

Update debian-ports.org/debian-cd redirection to cdimage.d.do

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Format weekly stunnel restart script nicer

Have gobby reload its config when we change its ssl cert

remove auto-cert and auto-clientcert symlinks from fileserver path

fix one path

Try to replace file access to auto-ca things with templates

Add syncproxy addresses to ssh whitelist

And more move things

move ssl/clientcerts to ssl/auto-clientcerts

move exim/certs to ssl/auto-certs

Stop hardcoding /srv/puppet.debian.org/from-letsencrypt/ all over the place

remove from-letsencrypt symlink from fileserver path

Make db key loaded from a template

Make gobby key loaded from a template

Add tls key for gobby server

This should remove the need to rotate it manually.

Use restrict authorized_keys option for geodns

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user
is a mouthful, and geo[123] are all on stretch.

remove unused modules/ssl/files/chains with the GANDI chains

Use a template to get more of the from-letsencrypt certs and keys, and no longer support getting certs and chains from files/{servicecerts,chains} (which no longer holds any DSA certs)

Restrict ssh to mirrors

Fix ssl key template

Use a template to get from-letsencrypt cert key, and no longer support getting keys from files/keys (which no longer exists anyhow)

bmdb1/main on postgresql 9.6

don't spawn a shell in create-onionbalance-config

python can do these things.

Make sure onionbalance private keys are group-readable

Seems umask is no longer sufficient and they end up 0600.

bmdb1's debsources cluster is on 9.6