Add a comment

remove obsolete ServerAlias entries for www-other

redirect www-other (i.e. debian.org, CC.d.o, www.d.CC) to https on www.debian.org now

reject package file names that could be used to install local files.  Issue reported by Julian Andres Klode.

Cleanup experimental_apache role

Not needed on hosts running stretch

Merge branch 'master' of ssh://handel.debian.org/~/dsa-puppet

remove custom casulana rules

RT#6923 - More users and groups

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add mail filters for some aliases (rt#6227)

- add sender callout for leader, patents, trademark
- add greylisting for patents, trademark
- add RBLs for patents, trademark
- add RHSBLs for leader, patents, treasurer, trademark

always a typo

prune ssh ACLs for luca

add more casulana rules for br1

add masquerade rules for casulana virtual machines

undo casulana custom roles

fix up the custom cloud-admins rule

custom rule for cloud-builds on casaluna

add sudo access to group cloud-builds

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

bmdb1 main cluster is back on timeline 1

Ensure mirror-health is restarted after the daemon-reload

Drop klecker from ftp.d.o mirror-health checking

klecker is not part of the set of backends that Fastly uses, so
checking against it has no value and might leave us unhealthy if
klecker is ahead.

mask sys-kernel-debug-tracing.mount and sys-kernel-debug.mount

Add a systemd::mask

Fix octal number in python script to it compiles

Revert "Use RedirectPermanent instead of RewriteRule"

This reverts commit abb8a9a1d0c72a616e297be5a1b091b6c9a74191.

Use RedirectPermanent instead of RewriteRule

Better debian-ports.org/debian-cd redirection

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop remaining debian-ports-cd code

Redirect ftp.ports.debian.org/debian-ports-cd to cdimage

Update debian-ports.org/debian-cd redirection to cdimage.d.do

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Format weekly stunnel restart script nicer

Have gobby reload its config when we change its ssl cert

remove auto-cert and auto-clientcert symlinks from fileserver path

fix one path

Try to replace file access to auto-ca things with templates

Add syncproxy addresses to ssh whitelist

And more move things

move ssl/clientcerts to ssl/auto-clientcerts

move exim/certs to ssl/auto-certs

Stop hardcoding /srv/puppet.debian.org/from-letsencrypt/ all over the place

remove from-letsencrypt symlink from fileserver path

Make db key loaded from a template

Make gobby key loaded from a template

Add tls key for gobby server

This should remove the need to rotate it manually.

Use restrict authorized_keys option for geodns

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user
is a mouthful, and geo[123] are all on stretch.

remove unused modules/ssl/files/chains with the GANDI chains

Use a template to get more of the from-letsencrypt certs and keys, and no longer support getting certs and chains from files/{servicecerts,chains} (which no longer holds any DSA certs)

Restrict ssh to mirrors

Fix ssl key template

Use a template to get from-letsencrypt cert key, and no longer support getting keys from files/keys (which no longer exists anyhow)

bmdb1/main on postgresql 9.6

don't spawn a shell in create-onionbalance-config

python can do these things.

Make sure onionbalance private keys are group-readable

Seems umask is no longer sufficient and they end up 0600.

bmdb1's debsources cluster is on 9.6

Add debconf17.dc.o static component

Consider ourselves unhealthy if fetching from localhost fails

Use max instead of if to get biggest timestamp

stop hardcoding danzi in postgres-make-base-backup

It's now added in a concat fragment.

Use postgres::backup_source for danzi's main pg cluster

add danzi/debconf pg cluster as backup source

.onion for debconf18.dc.o

At least -current-live is expected to exist

Add debconf18.dc.o static component

serial on klecker

mirror-health: have systemd restart the service when it dies

mirror-health: add shutdown check

mirror-health: move up-to-date check to a function

Add a tiny bit of error handling for health checking

Make apache listen for debian.backend.mirrors.debian.org on loopback too

Add missing domain component, now with 100% more valid names

Use service-looking names instead…

Use hard coded list for what hosts to check

We can't just grab this from hiera, since some hosts have service
addresses that are not their primary host addresses and so we get 404s
when asking on the wrong IP.

Notify service when the underlying file changes or the service changes

Correct path to health check status and allow access to it

Make sure to start the mirror-health service

Fix logic in healthy/unhealthy

Status code is an int

Correct variable name in systemd unit

Fix name of variable (it is a timestamp, not a zone) and log a bit more

Disallow redirects for health checking

DynamicUser and python don't mix, apply by hand instead

It seems like importing site fails for python with a dynamic user, so
set the same settings and run as nobody instead.

Format the list of hosts to check properly

Use define rather than class to make this work properly

Add health checking support for mirrors

Add a small daemon which checks if the local Last-Modified of a given
file is the same as on other hosts.  If it is, write a file saying
that we can receive traffic, else remove it.

Also map that file to /_health in the Apache config so bgpd/fastly can
check it.

install newer version of devscripts

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fixup ferm rule for danzi

update ferm rules for postgresql@danzi

sudo: debconf-web group can become debconf-web user

add debussy

add debussy volume at ubc

danzi pg is now 9.6

Revert "redirect linux updates to security-cdn"

This reverts commit 34eacf56eba8289174e139dee14af8d926723115.

Be more defensive with mv and use --no-target-directory

Refactor logging.

Keep a <component>.lock on the master for all updates, instead of trying
to lock individual directories.

There was a race in static-master-update-component, where we would keep
locks of <component> and <component>-updating.incoming-XXXXXX, and then
move <component> aside and replace it by
<component>-updating.incoming-XXXXXX in two steps.  Things could fail
if in between these two moves, another static-master-update-component
job showed up, and created a new <component> dir.

Better python, i.e., python that actually does what it should

Do not hardcode debian specifics in staticsync scripts, make them use a conffile

Quote COMPONENT computation in static-mirror-run

Revert "Restrict ssh to anycast and static mirrors"

Needs more work.

This reverts commit 162626172d5eaaa017e69ee990842c89272fc60e.

Restrict ssh to anycast and static mirrors

Actually add the template

Try pages.debian.net apache