Move backports-debian.org redirection from fasolo to static

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

fasolo is a static master and source

fasolo is master for backports / incoming / metadata.ftp-master

remove dacs

add comment

Update leap-seconds.list

raise max-age for HTTP Public Key Pins from 3 days to 2 weeks

rename ubc-enc2b9 to ubc-enc2bl09

rename ubc-enc2b2 to ubc-enc2bl02

rename ubc-enc2b1 to ubc-enc2bl01

No more ftpd on franck

Add ftp.upload and ssh.upload roles to usper.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add usper.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add fasolo as ftp-master

Get rid of "release" role

The web bits moved to static.d.o.

split out apt config into own class.  use multi-suite site::aptrepo

support an array of mirrors for site::aptrepo

let dak signal buildd pool update

Export debian-security-buildd-pool

get backports from fastly as well

Force type for *.debdiff.html.gz on release.d.o

Serve them as html rather than gzip.

Fixup apache config syntax error

Don't redirect on security for cloudfront and tor hidden service

Redirecting from https or .onion to plain http is probably a bad plan.

redirect linux updates to fastly

push ~/.selected_editor

Add deb.debian.org https vhost

A bit special: no HPKP, and redirects are currently different from the
HTTP vhost.

move deprecated modulepath so it is only set on the master

Do not have production and staging section in puppet.conf on all clients

Decommission jenko

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

add acker

add aagaard

raise pin age to 3d

add new host for luca

remove double slashes on metadata.ftp-debian.org

Revert "remove double slashes on metadata.ftp-debian.org"

This reverts commit 5d598f2a486bfb7619f294eeb606aa114f183349.

remove double slashes on metadata.ftp-debian.org

raise pin age to 1d

LE cert for buildd

LE cert for ftp-master

LE cert for munin

LE cert for nagios

LE cert for nm, contributors

LE cert for rt

LE cert for security-tracker

LE cert for sso

LE cert for vote

set TLSA port to 0 in preparation of cert roll for buildd, contributors, ftp-master, munin, nagios, nm, rt, security-tracker, sso, vote

Move udd.d.o cert to letsencrypt

Switch lists.d.o to letsencrypt

Signed-off-by: Julien Cristau <jcristau@debian.org>

Switch to letsencrypt for api.ftp-master.d.o

disable TLSA for api.ftp-master, lists, and udd

HPKP for dgit

HPKP for debtags

Enable HTTP PKP for syncproxy vhosts

raise life-time of HPKP to 3hrs

remove fubar.emyr.net from luca's list of hosts

Decommission pkgmirror-1and1

add IPv4 address for luca's new jumphost

Restrict vsftpd to the security.d.o IPs on mirror-anu

raise max-age for HTTP Public Key Pins from 5 min to 1 hour

add addresses to blacklist

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

rsync on gretchaninov

HPKP for jenkins

Switch to LE cert for jenkins

no need to ignore these maskings

Mask proc-sys-fs-binfmt_misc.automount

Temporarily disable tlsa for jenkins

samhain: also accept changes in etc/apache2/conf-available

ubc autofs update

It appears we do not use nameserver or searchpath info from hoster.yaml

Fix ubc searchpath: use priv.ubc instead of ubc.priv

Revert "why do we have two places for hosters?"

This reverts commit 8c754dd0bea9537082a5a71dcbb1367a45af4a94.

retire brainfood as hoster

why do we have two places for hosters?

replace ubc bl[268] with ubc-enc2bl{2,9,10} as recursors

remove ubcece as a hoster - the definition is identical to ubc

add ubc autofs rules

make pin macros conditional on mod_macro being present

new cable modem

Update buxtehude IP on sonntag firewall

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Update ullmann IPs on bmdb1 firewall

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Remove extra .conf from apache config file

apache2::config already adds .conf to the file name.

Enable HPKP for all static sites

ship keys for d-i, dsa, and rtc

replace certs for d-i, dsa, and rtc with LE

change pin thing

ignore changes to /etc/apache2/conf-available/puppet-ssl-key-pins.conf

set pins always

ship pin set for people.debian.org

reload apache2 on pinset change

A gen_hpkp_pin function

reload apache2 on pinset change

concat does not like empty things

puppet-ssl-key-pins.conf is a concat, cannot set it as source/content

puppet-ssl-key-pins.conf

Support nocontentok for apache2::config

Dedicated block for absent case

We have no lsbmajdistrelease <= 7 hosts anymore

We don't need tftpd on jenko.d.o anymore

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Update buxtehude and glinka NFS firewall

Now that buxtehude is also on the private network, we can use it instead
of the public IP. For that split the buxtehude and glinka configuration.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>