No more conntrackd in bm, so drop firewall opening

Retire ftp.d.o role, it is unused

Clean up debugging foo

steve probably does not care about samhain mails very much

Get rid of unused role

Get rid of some intermediate variables

Move onion IP addresses into hiera

Simplify debian_mirror for hiera-hash

Whitespace

Move debian_mirror over to being a hash

Use .dig to dig into hiera structs

Debugging

Cleanup obsolete absent resource

Get rid of security_mirror_onion role in favour of just keying off the ip address in hiera

sshd: Raise MaxStartups on ssh upload hosts

Decommission fils and fayrfax

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

sshd_config: Remove UsePrivilegeSeparation yes.   on stretch the default is sandbox which seems better

sshd_config: remove commented out options and options where we just use the default value (according to the stretch manpage)

Simplify lookups now that security_mirror is a hash

Switch the security mirror role over to using a hash

Add support to hashes for has_role

In addition to supporting

roles:
  foo:
    - host1
    - host2
    - host3

Add support for:

roles:
  foo:
    host1:
      k1: v1
    host2: ~

as well.

Whitespace fixups

Add localhost listens when listen-addresses is set

Whitespace

Pull out listen addresses from hiera again

Set service-hostname for mirror-conova too

mirror-conova is a fastly backend, mark it as such

Fix typo

Hard code listen IPs while I debug hiera again

Avoid redeclaring the mirror-health file resource

Stop hard coding host list for debian_mirror and use the same code we use for security

Refactor hiera lookup for security mirrors slightly

Since the structure is a list of hashes (for vaguely historical
reasons), we need to unpack the result from hiera before doing the
filtering and selection of the backends.

Gah, puppet!

Use notify, not notice for debugging

Revert "Correct hiera function call syntax"

This reverts commit a6d0545f07cac7f094c6952d57c2580b911aee4b.

Fix has_role to handle richer data structures properly

Hard code deb.d.o backend hosts while debugging

Revert "Debugging"

This reverts commit 199493bc8beb1c63e2459c742cfa891865a1e38f.

Debugging

Debugging

Correct hiera function call syntax

Also redirect mips64el to the mips port family page

Reported-by: sebul <sebuls@gmail.com>
Reported-in: <CANy4eeUSa1mLCASUduCTYzZ4G4egYefBTA7W4TUFWkxeb30CuQ@mail.gmail.com>

Fix a thinko in previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lobos and villa do not have a battery on their raid controller

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

More debugging

Fix typo

More gunking around to see if we can make this work

Make all entries in security_mirror into hashes

More syntax fixing

YAML is hard

Use hiera data for pulling health check data for security hosts

Typos-r-us

Pull list of hosts to health check from hiera

Instead of hard coding the set of hosts that Fastly checks, put the
information in hiera.

Remove backup access from franck.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

dsa-check_puppet_agent was renamed to dsa-check-puppet_agent

get rid of pizzetti

Move listen-address information out of manifest and into hiera

Use ensure_packages to avoid problems with puppet redeclaring resources

Merge branch 'master' of git+ssh://git2.debian.org/dsa/dsa-puppet

remove falla and fischer

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Pull listen addresses for apache mirrors from hiera

This is slightly crazy with a bit of transitional logic.

remove bendel/lists blackhole rules that are probably long obsolete

Fix yaml syntax

Add extra metadata for debian_mirror hosts

This might break puppet completely, will pick up the pieces if so.

Merge branch 'master' of git+ssh://git2.debian.org/dsa/dsa-puppet

remove busoni

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Import cron entries from dsa-nagios-check package

Also randomize dsa-update-apt-status and dsa-update-samhain-status
calls.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Use the right path to health checks on security hosts

Decommission ubc-bl*.debian.org

Luca will make sure that they won't come back.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Publish security mirror health on _health

Fix hiera function call syntax

Start setting up mirror health checking for security too

Cut down a tiny bit on exim config distributed everywhere

Remove obsolete block

Try harder at handling connection timeouts for mirror-health

fasolo, klecker: blacklist acpi power meter. rt#6974

workaround dmesg noisy errors, which are safe to ignore:
```
[3723410.864219] ACPI Error: SMBus/IPMI/GenericSerialBus write requires Buffer of length 66, found length 32 (20160831/exfield-427)
[3723410.890212] ACPI Error: Method parse/execution failed [\_SB.PMI0._PMM] (Node ffffa0e2fe877280), AE_AML_BUFFER_LIMIT (20160831/psparse-543)
[3723410.920171] ACPI Exception: AE_AML_BUFFER_LIMIT, Evaluating _PMM (20160831/power_meter-338)
```

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

systemd: do not reload journald

systemd journal needs a reboot upon configuration refresh

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

godard: enable persistent journald storage. rt#7049

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

wafer: only ask for client certs on the login page

Django sites rely on Referrer headers for XSS protection

wafer wants to be able to write its log, make it run with the debconf-web gid

wafer config uses expires apache module

debussy wants sso_rp for wafer

fixup debconf_wafer role

apache config for wafertest.debconf.org

Use a specific IP address for pages.d.n's vhost

Add debussy to the insecure_ssl role

It wants to use nodejs, and the nodejs package hardcodes
/etc/ssl/certs/ca-certificates.crt (wtf?)

fix pages port once more

fix port for pages

ssl cert for pages.debian.net

do proxypass for pages

SSL for pages.debian.org

ProxyPass everything so we can set nocanon (re: RT#7057)

change redirections about policy manual to 302, since a change back to the multi-page format is under consideration

RT#7058

Signed-off-by: Julien Cristau <jcristau@debian.org>

79.124.75.18 sends us hotel booking spam

update recursors for grnet

Decommission asachi, arm-linaro-01 and arm-linaro-03 (RT#6895)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

use ttyS1 for the kernel console on fasolo

Try to get ipsec between storace and fasolo

And ensure wsgi module gets loaded