99porterbox-extra-sources: Update security blacklist post-stretch

Now that stretch has been released, we want to include the security archive.
Moreover, buster (the current testing) is present in the security archive, so
we can avoid the need to update this blacklist after every release.

smaller timeout before we attempt to restart hpasmcli

restart hp-health on lobos and villa if they are broken

Do ignore raid controller cache failures on lw08

Try to make dsa-check-hpssacli cron entry setup code easier to read

raise warn-age for pg base backups to 11 days

There is no ferm-restart Exec to notify

postgres-make-base-backups: fix () formatting

format days differently

postgres-make-base-backups: and print seconds as times

postgres-make-base-backups: print more values

postgres-make-base-backups: rename variables to make them more obvious

postgres-make-base-backups: re-order logic for consistency

also print cutoff times

Format time deltas in a readable way instead of in seconds

Try to escape things differently

running every half hour should also suffice easily, with a semicolon

running every half hour should also suffice easily

postgres-make-base-backups: locks and logs

- get locks for each individual base backup so we do not run parallel ones in the precense of forced runs
- also log to syslog

run postgres-make-base-backups every 10 minutes not only on Sunday

sane mode for state dir

And create state dir for postgres-make-base-backups

run base backups spread over time.  This also should help us to recover from failures or reboots better

Have postgres-make-base-backups use postgres-make-one-base-backup

Make a postgres-make-one-base-backup script with the logic from  postgres-make-base-backups

ferm::conf - include ferm

start ferm config with a 00-init and start SSH*SOURCES there

ferm::conf - merge with tor version

Revert "The debian.ch domain is obsolete"

This reverts commit 4ea1c460a6197c4ab24ad77df64ea15acd6ba797.

Revert "Revert "massage log messages""

This reverts commit 0e6a2fddf5f78bc1bdeb2f95cc82e83a1b2e458f.

The debconf13.ch domain is obsolete

Revert "massage log messages"

This reverts commit caa87132c4be1e1de8c71dc2a421ca2f0413f583.

The debian.ch domain is obsolete

massage log messages

massage log messages

Run our own bacula scheduler from cron

Update ntp init script to the stretch version (RT#6907)

Bug#802040 was fixed in stretch so we no longer need this.

Drop alioth zone from named config

Fix /etc/repro/radius-servers more

Fix /etc/repro/radius-servers

Configuration item "hashsize" is deprecated

Configuration item "allowmultiplekeys" is deprecated

Configuration item "ignorenislike" is deprecated

And fixup another path

Fix path to template

Disable default freeradius sites I don't think we want

Attempt to pull in some of the freeradius config from rtc.d.o

Also put bacula messages into syslog

Disable scheduling for backup jobs in preparation of deploying our own scheduler

Only add host to bacula dsa client list if we do backups for it

Update (c) year

Be more defensive when removing potentially obsolete pools

collect backup client list in a plain text file

bacula: remove obsolete pools

Redirect all of *.pages to https (re: RT#7072)

mirror-health: set User-Agent http header

Revert "Make security -> security-cdn redirect global, not just for the linux package"

I need to update the mirror health check to account for this.

This reverts commit d8b6b760a99f36fc6bf6088b8e998c1d67d46ab6.

Make security -> security-cdn redirect global, not just for the linux package

Drop security-cdn.d.o on stretch

Now that security.d.o as a SRV record basically pointing to
security-cdn.d.o, there is no point to have both in the sources.list
for stretch hosts.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

storace also makes ACPI noises about power_meter

we do not need to backup clamav-unofficial-sigs files

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

push empty /var/lib/varnish/.nobackup

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

mirror-conova also does lots of ACPI power-meter dmesg noise

Decommission mirror-bytemark

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fix check url for security mirror health

It's still not ideal because an oldstable-only update won't be picked
up, but at least it exists.

Run dsa-check-openmanage on schumann and wieck

mirror-bytemark no longer a fastly backend for /debian/

make schumann a fastly backend for security

Remove /srv/ftp.root from security mirrors

They do not serve FTP anymore so the archive can be located directly
in /srv/mirrors/debian-security like for other archive.

Do not create the /srv/mirrors/debian-security, as it might still be a
symlink, and ftpsync will create it. This actually matches what is done
for the other archive.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Serve security mirrors from /srv/mirrors/debian-security

In preparation for the /srv/ftp.root removal

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Import facts from schumann

Drop m68k@buildd.debian.org -> m68k-build@nocrew.org rewrite

I have no idea why this is done, but we don't want that.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add schumann to the security_mirror role

Merge remote-tracking branch 'zobel-salsa/zobel-salsa'

Merge branch 'zobel-salsa'

Remove lobos from fastly security backends for now

We want to see how it does with 2 dedicated backends (villa and wieck).

dupload.conf: fix a thinko in the security upload hostname

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: do security uploads using SSH

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

rsync-ssh-wrap: force the permissions of uploaded files

dupload calls rsync with -p, causing the uploaded files to be world
readable, despite the ACL of the upload directory (see bug#876900).
This is an issue for security uploads.

This has been fixed in sid, but not yet in stretch. In the meantime
force the permissions to 0640 at the wrapper level.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

planet-d.o: fix a thinko in my previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

planet-d.o: only allow access from localhost and local IP

This way it's possible to access planet-master.d.o using SSH as a socks
proxy. It requires to connect to planet-master.d.o aka philp.d.o instead
of any debian machine.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

99builddsourceslist: access the security archive using https

Let's try again!

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lintian.d.o: fix deflate output filter

It appears that AddOutputFilterByType options also apply to the
subdirectories. However this directive overwrites the default value or
the one defined in the parent directory.

Therefore we only want to add this directive to the root directory and
with all the mime types.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge remote-tracking branch 'waldi-salsa/godard-apache' into HEAD

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock more certificates

RT#7092: Apache on godard adds an additional X-Xss-Protection

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Import facts from godard

octocatalog: add dummy file for LE service certs

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock ldapinfo during octocatalog runs

Merge branch 'lintian.d.o-tweaks' of https://salsa.debian.org/nthykier/dsa-puppet

static_mirror: enable deflate and filter modules

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Install ca-certificates in the buildd chroots

This is need in addition of apt-transport-https.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lintian.d.o: Move svg compression to the resources directory

It does not appear to propogate on its own, so move it from the root
to the "resources" directory section.  There are no SVG images outside
that directory anyway.

Signed-off-by: Niels Thykier <niels@thykier.net>

lintian.d.o: Remove redundant + incorrect IfModule mod_userdir

Signed-off-by: Niels Thykier <niels@thykier.net>

Revert "99builddsourceslist: access the security archive using https"

This reverts commit f77a22de23c38230527be61375482971dea55fef.

This doesn't work, we also need ca-certificate in the chroot :-(

99builddsourceslist: access the security archive using https

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fully retire spontini.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Also drop security anycast-test mirrors

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

snapshot storage nodes want the toolchain to build the snapshot fsck utility

setup-dchroot: fix a typo

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>