replace modules/nagios/files/dsa-nagios with a symlink to a new install location

Replace modules/exim/files/certs and modules/ssl/files/clientcerts with symlinks to the auto-ca

Do not put incoming.debian.org into klecker

install irqbalance on multi-cpu systems

put a basic postfix config in place

put a basic postfix config in place

add heavy_postfix setting in local.yaml, and set smarthosts for not-heavy-postfix postfix hosts

Have postfix include debian_org::mail_incoming_port also

Move incoming mail port handling from exim to the debian_org module

confine allow-all smtp in postfix to role lists

Make the static-mirror-run log per component

Add /srv/security.upload.d.o on suchon

route salsa.debian.org to godard.debian.org

maintain /srv/keyring.debian.org tree in puppet

Add factor to determine whether a host has a keyring.debian.org mirror

run every 2 hours instead of hourly

Split header of puppet-nagios-wraps into own fragment, set orders

Migrate /etc/cron.d/puppet-nagios-hpsa to the puppet-nagios-wraps concat

Switch /etc/cron.d/puppet-nagios-wraps to concat

Put the puppet motd into /etc/motd on stretch hosts

run every 2 hours instead of hourly

Use $::smartarraycontroller_hpsa or $::smartarraycontroller_cciss instead of $::smartarraycontroller

run dsa-check-hpssacli out of cron on smartarraycontroller_hpsa hosts

split smartarraycontroller into smartarraycontroller_cciss and smartarraycontroller_hpsa

We no longer need the memcached module - do not list it in 3rdparty/Puppetfile

setup-dchroot: only keep 2 old chroots

Since the switch to gcc-7 as default compiler, the chroots are much
bigger. Only keep the two last ones to save space.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ubc-bl[26] are down -- no longer use them as NTP servers

manage grub on bytemark blades, and enable nopat

multipath/templates/multipath-bm-os.conf.erb is unused, remove

Remove a bunch of 3rdparty modules that seem unused

These are: apache, aviator, cinder, glance, horizon, inifile,
keystone, memcached, neutron, nova, openstacklib, qpid, vswitch.

memcached (openstack) is no longer in use

keystone (openstack) is no longer in use

Remove elasticsearch module, it is no longer needed

Retire stockhausen/listsearch (RT#6848)

Add antiharassment to callout_users, grey_users, rbllist, and rhsbllist

vittoria on pg9.6

removed weak ssh key; added new admin key

Use ensure => "present" for video.debian.net ssl

It doesn't have any files so it doesn't have a static component.

ssl::service only transfers certificates for services that
have static components defined.

Add TLS for video.debian.net and the redirects within it

meetings-archive.debian.net now supports https so
using https for both the initial request and the
redirect to meetings-archive would be nice.

Decommission gigault.debian.org

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Do limit group sftponly to sftp

make sure /etc/default/grub.d is just populated by puppet

Simplify setting grub_do_nopat

Also redirect URLs that are missing a trailing slash

Prevents 404 errors when loading http://deb.debian.org/debian

See-also: http://forums.debian.net/viewtopic.php?f=20&t=134288
See-also: <20170812033010.GA23525@elchanate.org>

Try to route git mail to godard -- the service is called salsa

Try to route git mail to godard

spell aagaard right

fix templates

fasolo grub

manage grub on arm-arm-03

manage grub on arm-arm-01

aagard, acker grub

skroutz does not need nopat

Use ttyAMA0 based on hostname instead of arch

split grub and kernel serial

puppetized grub on mirror-skroutz, mirror-accumu

beach is on stretch too, so remove from experimental-apache

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "temporarily disable ntp install fu while we get virt-what installed"

This reverts commit e97ada246f6bbbdb8007d1156db9007b518aaf43.

draghi is on stretch too, so remove from experimental-apache

Move nopat setting to puppetized grub on casulana,mirror-anu,sallinen,storace; and also enable serial

Configure ubc blade grub with puppet

temporarily disable ntp install fu while we get virt-what installed

install virt-what and use facter's default virtual facts

Discussion in #d-a suggests that on jessie facter needs the virt-what
package installed for the virtual and is_virtual facts to work.
Install it on jessie (and purge on stretch and later), and revert to
using the facter's default facts about virtualization.

Also remove our own systemd based virt fact.

Use new virt factor in grub manifest

Use new virt factor in time manifest

add a virt facter based on systemd

Allow gitdoadm sudo to git on godard

And set net.ifnames to 0

And set net.ifnames to 0

Fix entry for hier

Add godard

Add godard (new git hosting host)

Add 62.46.0.0/15 to weasel's networks

lvm-conova-ganeti.conf: disable lvmetad

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lvm-conova-ganeti.conf: setup a global_filter

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "Revert nrpe dsa2_shutdown command to its state before dsa-is-shutdown-scheduled"

This reverts commit 971573de556cd68ce1ada54f7a07c366c69ed953.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

dsa-is-shutdown-scheduled: rewrite the systemd-shutdownd test using pgrep

Otherwise we end up detecting the command started by dsa-is-shutdown-scheduled
when the script is launched twice or more at the same time.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

The ACL file is not actually a template, so do this with puppet instead

Just use two files for now and logic in the puppet recipe.

Add function to emit the correct geoip format for bind versions

BIND 9.9 and BIND 9.10 have different formats for geoip.  Add a
function that DTRT, and test it slightly before doing it to all countries.

Revert nrpe dsa2_shutdown command to its state before dsa-is-shutdown-scheduled

Let's try if that restores some sanity to mini-nag.

milanollo on stretch, no more experimental apache

Do not backup the other Apache disk cache

Avoids warnings due to races when it is cleaned/backed up at the same time:

    Could not stat "/srv/apache-cache/mod_cache_disk/r/k/txeIh19LMLMAVeQKsKcg.header": ERR=No such file or directory

sshd_config: remove protocol version 1 specific options

These options are useless as they only apply to protocol version 1,
while we explicitely force the protocol to version 2. They have started
to fill logs with deprecation warnings on stretch hosts.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fix dell harder

Their packages need libssl1.0.0 which is only in jessie, and don't
depend on it.

raid/dell: rename aptrepo declaration to avoid conflict with raid/proliant

Add dell srvadmin tool to try and improve health monitoring

/etc/default/grub: fix serial console on arm64 VMs

arm64 VMs do not have a graphical card and have their serial device
named ttyAMA0.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add a wrapper to call qemu-system-aarch64 from ganeti

... until things get integrated upstream.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add codesign bits for secure boot

Remove busoni from static

Fix update-fastly-ips cron job

/usr/local/bin is not in PATH

And fixup cron job

Move shutdown marker around

One day I'll be able to rename things in all places rather than forgetting half of them

Export scheduled shutdowns to the web

Move logic from dsa2_shutdown nrpe command to a separate script, and use
it to let http(s) clients know a shutdown is scheduled.

Rename cron.d entry to make it clear it comes from puppet

Base lvm-conova-ganeti.conf on the stretch lvm.conf

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add missing file from previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Setup aagaard/acker as a ganeti cluster

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fix typo