Install srvadmin foo on dell hosts, and move our restricted archive to debian_org::apt_restricted

and symlink

change megaraid_sas test

ftp.de.debian.org appears to be unavailable -- switch man-da to ftp2

different name for aptrepo

fix class

megaraid_sas

Add megaraid_sas facter

Put grub and kernel on ttyS0 on manda-node0[34]

setup-dchroot: merge from tor (genname split into function, ubuntu updates)

- split schroot base name generation into its own function
- if we build an ubuntu chroot, upgrade to the latest packages available
  in -updates and -security of their suite, since it seems they don't
  ever do point releases so you end up with a 4 year old openssl in your
  chroot.

Temporarily switch off privacy logging for security.d.o

I want to figure out what clients are still hitting it directly,
especially at specific times, so some insight into User-Agents and
timestamps would be useful.

Redirect all of security.d.o to security-cdn

Instead of just /pool/updates/main/l/linux/*, redirect everything except:
- if coming from fastly or aws
- if coming from nagios or mini-nag
- if using the onion service
- if doing a health check

Eventually we might point the security.d.o name directly at the CDN, but let's
see if this helps already.

Exclude dsa-check-mirrorsync nagios check from security to security-cdn redirect

Exclude nagios check_http from security to security-cdn redirect

Prep for making that redirect global

Disable mod_disk_cache on security-tracker

Drop sibelius from postgres-make-base-backups

Drop firewall rule for pg @ sibelius

Remove sibelius/snapshot from dsa-check-backuppg

unique all ip addresses

Try a unique around v4addrs

Revert "sibelius nfs on public net"

This reverts commits 613379c1d1814794d873352a4791c5556eac938f and
1f3cd8bea3ed396c5e1ab35d369e6b72bb27b3f2.

sibelius nfs on public net, 2

sibelius nfs on public net

make fail2ban cleanup job shut up

move DROP blacklists to ferm prio 005, after munin

manually create the subchain

prevent the trailing ; after the subchain

move the fail2ban rules under the dsa-f2b chain

Move logging and related/established out of ferm.conf into a dsa.d rule

move munin rules from conf.d to the rules dir, 2

move munin rules from conf.d to the rules dir

rename interfaces to  50-munin-interfaces

merge munin_ip v4 and v6 into one rule

change default ferm rule priority to 10 from 00

also govern submission port

Clean up fail2ban database

more aggressive fail2ban on exim hosts

Add a second easydns ipv4 address

mirror-isc no longer has the disk to host -debug

Make mirror-conova an onion mirror for -debug

klecker no longer has the disk to host -debug

remove debian.fi

We added it at some point because we thought it'd be given to us,
but two years later it's still not delegated to us and the whois entry
doesn't show us as registrant either.

netnod call the key netnod-debian-20171122

try to switch dnsnodeapi-ACL over to the TSIG key

try a HEREdoc as the syntax checker seems to have issues with multi-line strings

allow respighi to access udd on ullmann

it's used to create the autoremoval hints

merge ipv4 and ipv6 rule for ullmann's dsa-postgres-udd rule

allow ssh from ftpmaster to debug_mirrors

debug_mirror: remove useless and broken filter

Make hiera's debug_mirror look like debian_mirror

fix a prefix len in dsa-postgres-udd6

Remove old klecker IP addresses

Set up grub with serial console at leaseweb

Add health check on debian-debug archive backends

Using *:80 as vhost on mirror-accumu

everything else is using *:80, so if we bind more specific things we
might get precedence we don't want.

fix onion_v4_addr in debug class

fix onion role for debug

put -debug webserver and onion config onto mirror-accumu

do fail2ban on postfix AUTH attempts on lists.d.o

retire old DNS root key

drop manual blacklist of smtp abusers

use fail2ban to block some abusive smtp clients on our MXs (re: RT#7515)

Add smtp_protocol_error to log_selector

We want to learn when clients try to use AUTH LOGIN and friends so we
can block them more easily.

more

more

netfilter DROP traffic from some mail abusers

Start with removing some moszumanska entries (in particular about pg backups).  re: #7513)

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 4

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 3

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 2

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls: 1st attempt

restart unbound after putting trust anchors in place

Use temporary redirects for ports redirects to the wiki

The URLs could change to the website or elsewhere at some point.

Suggested-by: weasel

Redirect popcon.d.o ports links that are 404 to the corresponding wiki pages

Add workaround for new Tor configuration requirement

See-also: https://trac.torproject.org/projects/tor/ticket/27849

we send mail from nagios@.  make it exist

Try to samhain ignore /var/lib/puppet/clientbucket more

and get dependency right

Add munin-async service to the catalog

Set munin-async restart time to 10sec

Sometimes munin-async fails to start, presumably because it cannot
connect to the running munind yet.  The service file tells it to
restart always, but with the default sleep time before a restart of
100ms we often run into
 systemd[1]: munin-async.service: Start request repeated too quickly.
after 5 fails attempts within a second or two.

Give munind more time to actually launch.

Start repro only after we are online

It fails to bind to its IP addresses otherwise.

Try to samhain ignore /var/lib/puppet/clientbucket

Also ask our nagios check if drbd is fine

ganeti-reboot-cluster: wait for drbd to have caught up

and a mirror

larger net

one more net

the amazon crawlers change IP address as soon as they are blocked

blacklist more amazon aws

blacklist 18.185.157.46 and 18.194.174.202

99builddsourceslist: remove jessie-kfreebsd hacks

99builddsourceslist: temporarily add stretch-proposed-updates to stretch-security chroots

Temporarily add stretch-proposed-updates for stretch-security chroots as requested
by the security team to handle Thunderbird and Firefox ESR 60.x releases. This should
be removed with the release of the 9.5 point release.

setup-all-dchroots: fix architecture list generation

Try one fewer threads per snapshot process

remove old cleanup items

Move default webpage from apache to webserver module

Move creation of /run/dsa/shutdown-marker to a new common webserver module

setup-all-dchroots: Support rebuilding just one arch/suite

setup-all-dchroots: move DPKGARCH to where it's used

setup-all-dchroots: remove unused $UNAMEARCH