pkg-ruby-extras.alioth.d.o on static

Give up on the distinction between /etc/ssl/certs and /etc/ssl/ca-debian

1) we don't ship EE certs in puppet anymore so the former was empty
2) most software nowadays requires actual CA certs in its trust store
   rather than EE certs

Remove CAs we no longer use from /etc/ssl/ca-debian/

Also remove /usr/local/share/ca-certificates/debian.org

Get rid of /etc/ssl/servicecerts

All active certs are now coming from letsencrypt.

check-libs: ignore all access to /srv/salsa/repos by user git, regardless of process name

Decommission zemlinsky.d.o (RT#7208)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Remove buildd package on pybuildds based buildds

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: use a different configuration for buildd and pybuildd

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Reorganize buildd module into different sections

That'll help the switch from buildd to pybuildd

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: drop old compat code, make more jessie code conditional

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: remove buildd-schroot-aptitude-kill.squeeze

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Allow ftp-masters access to the dak-code user

RT#7206

Merge branch 'godard-apache' of https://salsa.debian.org/waldi/dsa-puppet

RT#7092

Add video.debconf.org redirect on static (RT#7186)

Cleanup roles::signing some more

fasolo has been cleaned up so we can drop the file deletions from the
manifest.

Delete scripts for code signing

They'll live in ftpteam land after all:
https://salsa.debian.org/ftp-team/code-signing

buildd lingering: remove a bashism

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd lingering: setup XDG_RUNTIME_DIR in .profile

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Set up lists.alioth.debian.org to alioth-lists.debian.net redirect

buildd lingering: ensure /var/lib/systemd/linger directory exists

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Enable lingering and persistent journal on buildds

This is needed to run pybuildd as a user.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Deploy ssl cert for bugs-devel.d.o on bugs-master

Fix logic in cleanup-watcher-pause-file: clean out files *after* they should be deleted

Only set headers in apache if they don't exist

"Header always setifempty" does not work with proxied requests, as the
header from the response is added in the second header table.  This
means both tables want to set the headers.  The only way out seems to
check by hand if the header already exists somewhere.

Signed-off-by: Bastian Blank <waldi@debian.org>

buildd.d.o: update archive key

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge remote-tracking branch 'jrtc27/buster-fixes'

* jrtc27/buster-fixes:
  99porterbox-extra-sources: Enable debug archive for buster and beyond
  99porterbox-extra-sources: Update security blacklist post-stretch

99porterbox-extra-sources: Enable debug archive for buster and beyond

99porterbox-extra-sources: Update security blacklist post-stretch

Now that stretch has been released, we want to include the security archive.
Moreover, buster (the current testing) is present in the security archive, so
we can avoid the need to update this blacklist after every release.

smaller timeout before we attempt to restart hpasmcli

restart hp-health on lobos and villa if they are broken

Do ignore raid controller cache failures on lw08

Try to make dsa-check-hpssacli cron entry setup code easier to read

raise warn-age for pg base backups to 11 days

There is no ferm-restart Exec to notify

postgres-make-base-backups: fix () formatting

format days differently

postgres-make-base-backups: and print seconds as times

postgres-make-base-backups: print more values

postgres-make-base-backups: rename variables to make them more obvious

postgres-make-base-backups: re-order logic for consistency

also print cutoff times

Format time deltas in a readable way instead of in seconds

Try to escape things differently

running every half hour should also suffice easily, with a semicolon

running every half hour should also suffice easily

postgres-make-base-backups: locks and logs

- get locks for each individual base backup so we do not run parallel ones in the precense of forced runs
- also log to syslog

run postgres-make-base-backups every 10 minutes not only on Sunday

sane mode for state dir

And create state dir for postgres-make-base-backups

run base backups spread over time.  This also should help us to recover from failures or reboots better

Have postgres-make-base-backups use postgres-make-one-base-backup

Make a postgres-make-one-base-backup script with the logic from  postgres-make-base-backups

ferm::conf - include ferm

start ferm config with a 00-init and start SSH*SOURCES there

ferm::conf - merge with tor version

Revert "The debian.ch domain is obsolete"

This reverts commit 4ea1c460a6197c4ab24ad77df64ea15acd6ba797.

Revert "Revert "massage log messages""

This reverts commit 0e6a2fddf5f78bc1bdeb2f95cc82e83a1b2e458f.

The debconf13.ch domain is obsolete

Revert "massage log messages"

This reverts commit caa87132c4be1e1de8c71dc2a421ca2f0413f583.

The debian.ch domain is obsolete

massage log messages

massage log messages

Run our own bacula scheduler from cron

Update ntp init script to the stretch version (RT#6907)

Bug#802040 was fixed in stretch so we no longer need this.

Drop alioth zone from named config

Fix /etc/repro/radius-servers more

Fix /etc/repro/radius-servers

Configuration item "hashsize" is deprecated

Configuration item "allowmultiplekeys" is deprecated

Configuration item "ignorenislike" is deprecated

And fixup another path

Fix path to template

Disable default freeradius sites I don't think we want

Attempt to pull in some of the freeradius config from rtc.d.o

Also put bacula messages into syslog

Disable scheduling for backup jobs in preparation of deploying our own scheduler

Only add host to bacula dsa client list if we do backups for it

Update (c) year

Be more defensive when removing potentially obsolete pools

collect backup client list in a plain text file

bacula: remove obsolete pools

Redirect all of *.pages to https (re: RT#7072)

mirror-health: set User-Agent http header

Revert "Make security -> security-cdn redirect global, not just for the linux package"

I need to update the mirror health check to account for this.

This reverts commit d8b6b760a99f36fc6bf6088b8e998c1d67d46ab6.

Make security -> security-cdn redirect global, not just for the linux package

Drop security-cdn.d.o on stretch

Now that security.d.o as a SRV record basically pointing to
security-cdn.d.o, there is no point to have both in the sources.list
for stretch hosts.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

storace also makes ACPI noises about power_meter

we do not need to backup clamav-unofficial-sigs files

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

push empty /var/lib/varnish/.nobackup

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

mirror-conova also does lots of ACPI power-meter dmesg noise

Decommission mirror-bytemark

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fix check url for security mirror health

It's still not ideal because an oldstable-only update won't be picked
up, but at least it exists.

Run dsa-check-openmanage on schumann and wieck

mirror-bytemark no longer a fastly backend for /debian/

make schumann a fastly backend for security

Remove /srv/ftp.root from security mirrors

They do not serve FTP anymore so the archive can be located directly
in /srv/mirrors/debian-security like for other archive.

Do not create the /srv/mirrors/debian-security, as it might still be a
symlink, and ftpsync will create it. This actually matches what is done
for the other archive.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Serve security mirrors from /srv/mirrors/debian-security

In preparation for the /srv/ftp.root removal

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Import facts from schumann

Drop m68k@buildd.debian.org -> m68k-build@nocrew.org rewrite

I have no idea why this is done, but we don't want that.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>