Make a snapshot.debian.net vhost

Drop references to long-gone db.d.o repos

Use https for *-restricted db.d.o repo too

Use https to access the db.d.o repo

Fixup db.d.o archive key for apt consumption, it shouldn't be armored

Extend lifetime of db.d.o archive key by a year

Delete old logs on hosts using pybuildd

pybuildd keeps them indefinitely
(https://salsa.debian.org/wb-team/pybuildd/issues/11) so clean up ourselves to
avoid running into ENOSPC.

Don't try to install obsolete postgresql client packages

postfix fail2ban -- ban quicker and longer

Remove old stuff from obsolete package ignore list

- storace/backuphost don't need old pg anymore
- rainier/rapoport use stable rabbitmq-server
- conova-node* are on stretch

lvm ganeti.manda.debian.org: set global_filter

Update rabbitmq module

Add puppet/archive module, required for newer puppet/rabbitmq

Revert "Update 3rdparty rabbitmq module"

This reverts commit 921e69100a563cf143f56a3905d8362336d939ff.

Revert "Add systemd module, required by rabbitmq"

This reverts commit 1329adc9f34c3c87e353983ec9023a6cf6e93e67.

Revert "Add puppet/archive module"

This reverts commit ce70d6baf887ae03a2a6a7f5e73eb2e2c3dea208.

Add puppet/archive module

Required by puppet/rabbitmq

Rename our systemd module to dsa_systemd

Avoid conflict with 3rdparty.

Add systemd module, required by rabbitmq

pubsub: manage_repos -> repos_ensure

Update 3rdparty rabbitmq module

setup-dchroot: Request unmerged /usr

Merged /usr is known to cause multiple packages to be misbuilt. As long
as we support unmerged /usr for user systems, we should mitigate
this class of bugs by using unmerged-/usr chroots on official buildds,
resulting in binary packages that work equally well on merged- or
unmerged-/usr user systems.

See:

https://bugs.debian.org/913229
https://udd.debian.org/cgi-bin/bts-usertags.cgi?user=md@linux.it&tag=usrmerge
thread at https://lists.debian.org/debian-devel/2018/11/msg00299.html

Signed-off-by: Simon McVittie <smcv@debian.org>
Signed-off-by: Julien Cristau <jcristau@debian.org>

Add pijper

Don't install megacli if we're not amd64

manda-node03, manda-node04: lvm: issue discards

manda-node03, manda-node04: lvm: set a device filter

add default lvm conf for new manda hosts

rename lvm-manda-ganeti.conf -> lvm-manda-ganeti3.conf

try to sort pin files

Revert "try to sort pin files"

This reverts commit 839c8ea25d94aa887d71e46d150509ff4c339fac.

try to sort pin files

Try ganeti address definitions for new manda cluster

Use ldap's purpose field (ganeti/kvm host) to decide which hosts get the puppet ganeti module

Also restrict "ganeti/kvm host" purpose

Try to not limit ganeti firewall rules to v4

sudo: add additional openmanage command line for nagios

Lets us blacklist the battery probe on wieck and schumann.

ferm cleanup: sallinen

ferm cleanup: bmdb1:debsources, fix

ferm cleanup: bmdb1:debsources

ferm cleanup: bmdb1:dedup

ferm cleanup: bmdb1:bacula

ferm cleanup: bmdb1:wannabuild, remove duplicate allow from backuphost

ferm cleanup: bmdb1:wannabuild

ferm cleanup: bmdb1:dak, fix

ferm cleanup: bmdb1:dak

ferm cleanup: bmdb1:main, fix

ferm cleanup: bmdb1:main

also: no longer allow bmdb1:main access from bm-bl9

ferm cleanup: fasolo postgres

test avoiding hardcoding addresses

no more varnish on sibelius

bugs-search no longer runs on sonntag

backlist 51.15.215.91 from snapshot

Revert "99builddsourceslist: temporarily add stretch-proposed-updates to stretch-security chroots"

Debian 9.6 is out, so the temporary workaround is no longer necessary.

This reverts commit 6817281d2e8f2d2a0991b7517d451e6c7e38734a.

samhain: ignore /etc/schroot/dsa/default-mirror

It comes from puppet.

samhain: deal with rename of db.d.o restricted sources.list entry

sudo: add manda-node0[34] to DELLHOSTS

Lets nagios monitor system and storage health.

Fix debian_org::apt_restricted

Install srvadmin foo on dell hosts, and move our restricted archive to debian_org::apt_restricted

and symlink

change megaraid_sas test

ftp.de.debian.org appears to be unavailable -- switch man-da to ftp2

different name for aptrepo

fix class

megaraid_sas

Add megaraid_sas facter

Put grub and kernel on ttyS0 on manda-node0[34]

setup-dchroot: merge from tor (genname split into function, ubuntu updates)

- split schroot base name generation into its own function
- if we build an ubuntu chroot, upgrade to the latest packages available
  in -updates and -security of their suite, since it seems they don't
  ever do point releases so you end up with a 4 year old openssl in your
  chroot.

Temporarily switch off privacy logging for security.d.o

I want to figure out what clients are still hitting it directly,
especially at specific times, so some insight into User-Agents and
timestamps would be useful.

Redirect all of security.d.o to security-cdn

Instead of just /pool/updates/main/l/linux/*, redirect everything except:
- if coming from fastly or aws
- if coming from nagios or mini-nag
- if using the onion service
- if doing a health check

Eventually we might point the security.d.o name directly at the CDN, but let's
see if this helps already.

Exclude dsa-check-mirrorsync nagios check from security to security-cdn redirect

Exclude nagios check_http from security to security-cdn redirect

Prep for making that redirect global

Disable mod_disk_cache on security-tracker

Drop sibelius from postgres-make-base-backups

Drop firewall rule for pg @ sibelius

Remove sibelius/snapshot from dsa-check-backuppg

unique all ip addresses

Try a unique around v4addrs

Revert "sibelius nfs on public net"

This reverts commits 613379c1d1814794d873352a4791c5556eac938f and
1f3cd8bea3ed396c5e1ab35d369e6b72bb27b3f2.

sibelius nfs on public net, 2

sibelius nfs on public net

make fail2ban cleanup job shut up

move DROP blacklists to ferm prio 005, after munin

manually create the subchain

prevent the trailing ; after the subchain

move the fail2ban rules under the dsa-f2b chain

Move logging and related/established out of ferm.conf into a dsa.d rule

move munin rules from conf.d to the rules dir, 2

move munin rules from conf.d to the rules dir

rename interfaces to  50-munin-interfaces

merge munin_ip v4 and v6 into one rule

change default ferm rule priority to 10 from 00

also govern submission port

Clean up fail2ban database

more aggressive fail2ban on exim hosts

Add a second easydns ipv4 address

mirror-isc no longer has the disk to host -debug

Make mirror-conova an onion mirror for -debug

klecker no longer has the disk to host -debug

remove debian.fi

We added it at some point because we thought it'd be given to us,
but two years later it's still not delegated to us and the whois entry
doesn't show us as registrant either.

netnod call the key netnod-debian-20171122