disable different paths on mirror-conova for now

mirror-conova: move syncproxy to default paths, move debian mirrors to public-* paths

make a hiera setting for mirror base directory (/srv/mirrors)

flatten hiera role_config/syncproxy/mirror_basedir_prefix to role_config__syncproxy/mirror_basedir_prefix

Make historical mirror rsync template use the archive_root variable

historical mirror: make rsyncd.conf a template

Make ports mirror template use an @archive_root and @archive_cd_root variable defined in the manifest

Make debug mirror template use an @archive_root variable defined in the manifest

rsycnd.conf.erb: make future changes less likely to break stuff

fix ruby in rsycnd.conf.erb template

do not list debian-security archive

Make syncproxy mirror basedir configurable in hiera, and use it in all templates.  Also make the syncproxy rsync template a loop and fix debian-ports list check in the process

complete transition to dedicated admin key

s/8080/8181/g

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

update salsa.d.o ProxPassReverse from port 8080 to port 8181

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add arm-conova-02.debian.org (arm64 buildd)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ferm: restrict access to all buildds

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Make last commit work

Exim's command language is complex and hard to get right, so adjust as
necessary to make this behave in a predictable way.  Also use explicit
true/false to make condition= not upset.

Handle disabling of addresses with extensions correctly

salsa: make an /etc/ssh/userkeys/git

salsa: require all granted on the document root

salsa: needs apache2::rewrite

give ProxyPassReverse a path

salsa: update apache config

Tune proxypass, shortcut static files, add a few headers,
and set up error documents,

remove mpt-status everywhere

No debian.org host actually has a working mpt-status.  On wieck on
stretch it also keeps sendung us mail.  Get rid of it everywhere.

In a next step, we should also retire the facter.

deploy a basic apache config for salsa

enable-linger git

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add python-hkdf for salsa

Add amdahl.debian.org (arm64 porterbox)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

switch buxtehude to more puppetized pg backups

buildds: add an rsync-security entry to dupload.conf

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

fix filename

Add ~/.credentials-manual.yaml to salsa

ruby-dev for salsa

give gitlab a random key for encrypting its DB

grub: don't hardcode the list of hosts with nopat

remove duplicate acker entry

grub: nopat on villa, once more with feeling

grub: nopat on villa

villa on stretch, no more experimental_apache

Make insecure_ssl a role

ssl/ca-global: add certs recently removed from nss to blacklist

ssl/ca-global: add ANSSI and CNNIC to the blacklist

Fix some paths in the SSL config comments

Also apply the ca-global blacklist on godard

Disable the usual SSL setup for godard

ssl/ca-global: blacklist SPI/StartCom/WoSign CAs

Start moving vittoria over to puppetized pg backup

firewall: Start moving vittoria over to puppetized pg backup

remove temporary dc17 access to vittoria

Start moving vittoria over to puppetized pg backup

Maintain /etc/nagios/dsa-check-backuppg.conf with puppet

use ttyS1 on storace also in grub

use ttyS1 on storace

rsync-ssh-wrap: also allow uploads to SecurityUploadQueue

Signed-off-by: Julien Cristau <jcristau@debian.org>

vsftp::site wants a root parameter, even when disabling it

remove ftp_upload role from suchon

put an ssl cert on salsa

add symlink

Merge branch 'security-upload-host' of https://github.com/aburch/dsa-puppet

security upload host: /etc/ssh/userkeys/dak should exist

security upload ftp server: disallow directory listings and download

security upload host: enable ftp

Install ansible so the team can deploy their service

Add git user to group redis

fix service home path

make make_base_backups +x

Avoid undefined use of $grub_do_ifnames

switch salsa db to postgres::backup_cluster

manual entries for melartin for fw, authkeys, and make-base-backup should no longer be necessary

Start with puppetizing postgres cluster backup configuration.  for now, only deal with melartin

remove use of "ensure => $servicefiles" with a servicefiles variable we have never defined in this context

There is no bugsmaster role anymore.  Remove remaining users

next step in getting salsa pg backed up

actually add pg's sshkeys-manual

ship pg backup sshkeys in puppet

salsa: allow postgresql connections from backuphosts through firewall

pg: put postgres ssh keys onto backup server

move roles::postgresql_server to postgres::backup_source

add a comment explaining postgresql_server

Create .nobackup flag in non-hardcoded datadir

salsa: Make sure we use pg 9.6, and listen on *

Add salsa-admin@d.o

create salsa database with puppet

new concat no longer works with source => <file> on jessie hosts.  Switch to content => template in the one use of that

Update concat

Update stdlib

newer pg module

salsa: more mail setup

salsa: set mail username and password

salsa: plan to deploy database with puppet, write out credentials to a .yaml file

salsa: no yarn handling

Add actual postgresl module from puppetlabs

Add postgresl module from puppetlabs

Start with salsa.debian.org role/module

Add godard to salsa.debian.org role

replace modules/nagios/files/dsa-nagios with a symlink to a new install location

Replace modules/exim/files/certs and modules/ssl/files/clientcerts with symlinks to the auto-ca

Do not put incoming.debian.org into klecker

install irqbalance on multi-cpu systems