and restart service in question

fix notify for systemd::override absent case

Add systemd override unit

Add 2017 DNS root key

Maybe also support shutdown check on stretch

Revert "Don't push incoming to klecker"

This reverts commit 8518814d3c5330902bd83d12055f43babc293255.

new rsync option from stretch rsync clients

New ipv6 addresses for klecker

suchon is an upload host (*.security.upload.debian.org)

Add suchon

exim: postgrey in stretch handles host to network address translation

Rather than using ${mask:...} in the exim config, we can let postgrey do
this on its own.  Otherwise, it gets confused with ipv6 addresses using
dots instead of colons as separators, and crashes
(https://bugs.debian.org/867201).

One bconsole run per truncate run

string stuff for py3

volumes-delete-old update

delete old volumes daily

move crontab to file

rename get-deleteable-volumes -> volumes-delete-old

Add script to find deletable volumes

Make volume-purge-action learn about mediatypes from the DB

Allow thijs tcpdump on klecker

fix a link

Update apache2 cipher preferences from https://mozilla.github.io/server-side-tls/ssl-config-generator/

Revert "redirect linux updates to security-cdn"

This reverts commit b6f21532b07dfcb35d059d46913c306ea19c50e8.

Send stderr from dpkg-query to /dev/null to avoid cron spam

Fix up tor fact to not complain if the package has been purged

`dpkg -l $package` will return 0 if the package has been purged, so a
proper test for it instead.  Also add a pair of quotes to make `dpkg
--compare-versions` not complain.

Don't push incoming to klecker

klecker is already out of static rotation in auto-dns, and we're having
connectivity issues from fasolo, so this should be safe until we get
that resolved.

Revert "Don't push incoming to klecker"

This reverts commit 3c6303312627c8662f12ca1431e81c12186847f9.

Turns out incoming and incoming.ports aren't the same thing.

Don't push incoming to klecker

klecker is already out of static rotation in auto-dns, and we're having
connectivity issues from fasolo, so this should be safe until we get
that resolved.

redirect linux updates to security-cdn

security mirrors are overloaded

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildds: disable buildd.d.o repository on stretch hosts

Stretch hosts directly use the sbuild and buildd packages from the
debian archive.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge branch 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet

* 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet:
  puppet.conf: increase the connect timeout a bit

make demime=* conditional

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

puppet.conf: increase the connect timeout a bit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "redirect linux updates to security-cdn"

This reverts commit e0525b0198da806181c009520758274cf1d05995.

buildds: update dupload.conf

- ftp-master.d.o doesn't accept FTP upload anymore, replace it by
  ftp.upload.debian.org.
- add an anonymous-ftp-eu alias targetting ftp.eu.upload.debian.org.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ferm/aql: fix multicast rule

This should be 224.0.0.0/4 instead of 224.0.0.0/24. Thanks to James
Cowgill who noticed the typo.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

redirect linux updates to security-cdn

security mirrors are overloaded

Add UTF-8 charset for all .txt files on ftp.d.o

The dedication text files are UTF-8 encoded and
various browsers do not do automatic charset detection.

Suggested-by: KiBi on IRC (IIRC)

drop all traces of ia64

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

setup-all-dchroots: add buster

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Switch from /org to /srv in exim configuration

/org has been obsoleted by /srv for many years on debian.org hosts.

Update the setup for archive.debian.net

Factor out the config into an apache2 macro.

Make the 503 error message more generic so it can be used anywhere.

new zivit nameservers

disable nameservers for zivit

slightly reduce volume retention times for full and differentials (from 3 and 2 months to 100 and 50 days)

Allow d-i folks to rebuild the installation-guide as needed

set BufferedLogs to on

klecker sees a lot of IO which might be attributable to log traffic.

Maybe setting BufferedLogs to on will help this.

Remove httpredir related code

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Remove old dillon-lvm mapping

dillon is now using dillon-lvm2 on the other MSA

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

decommission httpredir-bm-01

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

decommission httpredir-csail-01

Use HTTPS for redirect from security.d.o to d.o/security/

buildd: point dupload.conf at ftp.security.upload.d.o

Add hier.d.o to provide historical.packages.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Set SSLStaplingFakeTryLater to off

enable ubc autofs for hier.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add dedication for hier.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add volumes for hier on ganeti2.ubc.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Remove buildd.debian-ports.org virtual domain

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge branch 'query' of https://github.com/stapelberg/dsa-puppet

Signed-off-by: Julien Cristau <jcristau@debian.org>

Add redirect for more old query string URLs

fixes https://github.com/Debian/debiman/issues/78

Add support for @syslogversion 3.8 from stretch

Merge branch 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet

* 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet:
  samhain: ignore /etc/schroot/setup.d/99builddsourceslist
  setup-dchroot: fix SUITE_ARCH detection for jessie kfreebsd chroots
  99porterbox-extra-sources: use jessie-kfreebsd as base for jessie-backports kfreebsd chroots
  99builddsourceslist: add a hack to handle the kfreebsd jessie-backport case
  Always set permissions of apache2 log directory
  Fix previous commit
  Drop outgoing IPv4 multicast traffic at AQL

add my other subnet

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

samhain: ignore /etc/schroot/setup.d/99builddsourceslist

Similarly to what is already done for 99porterbox-extra-sources and
99porterbox-extra-apt-options.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

setup-dchroot: fix SUITE_ARCH detection for jessie kfreebsd chroots

99porterbox-extra-sources: use jessie-kfreebsd as base for jessie-backports kfreebsd chroots

99builddsourceslist: add a hack to handle the kfreebsd jessie-backport case

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge remote-tracking branch 'waldi/log_apache2'

* waldi/log_apache2:
  Always set permissions of apache2 log directory

Always set permissions of apache2 log directory

Fix previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop outgoing IPv4 multicast traffic at AQL

Some packages like gst-rtsp-server1.0 generate multicast traffic in
their testsuite. This triggers protections at AQL. Avoid this by
dropping all the outgoing IPv4 multicast traffic.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Init puppet environment with some stuff

Init puppet system stuff

Add octocatalog-diff job

Ignore missing swede

Drop explicit function requires

Read misc files from environment

Use relative paths in environment.conf

Merge remote-tracking branch 'waldi/rsync-cleanup'

* waldi/rsync-cleanup:
  Lower client limit for rsync on masters
  Disable reverse lookup in rsyncd
  Drop max connections from rsyncd configs
  Disable the security repository for smetana

Lower client limit for rsync on masters

We only need one (or two for security-master) concurrent connections per
direct mirrors or syncproxies.

Disable reverse lookup in rsyncd

Due to restrictions enforced by systemd we don't have any access to DNS.
As a lot of connections are coming via stunnel, we don't see the remote
IP anyway.  Just disable all reverse lookups and the warnings.

Drop max connections from rsyncd configs

We have an indepdendent connection limit in systemd.  So drop the ones
from rsyncd configs.

Disable the security repository for smetana

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Setup sibelius as a NFS server exporting to sallinen

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add a debian-ports-buildd-dists rsync share

layout changes

spelling fixes

archive.debian.net vhost on right port

archive.debian.net vhost

and put archive.d.n ssl cert onto the host

Fix path

Add a 503.html for archive.debian.net

dsa-puppet-stuff: check for puppet version instead of debian release

As we might install backport versions of puppet.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

add skroutz

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

add skroutz

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Merge branch 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet

* 'master' of git+ssh://puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet:
  Use list of binds in apache config for syncproxies

add skroutz

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Use list of binds in apache config for syncproxies

Try to fix apache syncproxy config