move cron.d/puppet-update-fastly-ips into dsa-puppet-stuff

set MAILTO=root in dsa-puppet-stuff header

move munin-master crontab to dsa-puppet-stuff

restart hp-health on bm-bl* if needed

re-add lost cronjob line

Make dsa-puppet-stuff a concat

bacula-unlink-removed-volumes: do not remove .nobackup files

After rotating log files, sleep a few seconds

This allows syslog to actually reopen files, we're seeing problems
where it's (probably) ignoring the signal since it's in the middle of
rotating already.

Since this runs from logrotate there should be no admin irritation
over it.

disable unprivileged BPF loading

Use ftp.uk.debian.org instead of mirror.bytemark.co.uk at ARM

Hopefully that will fix the chroot creation at ARM.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Retire planeta.debian.net ServerAlias for planet.d.o

The DNS entry was owned by damog, who retired in 2015 (RT#5923).

Use https instead of http for some redirects

Ignore unhealthy hosts for deciding which mirrors are the newest

This prevents the case we saw in #877966 where bad timing of a mirror
push led to an outage.  The disadvantage is that time might be moving
backwards instead, but giving out older packages (or dists/) is better
than giving out no files at all.

Handle ConnectTimeout the same as ReadTimeout for mirror-health

Add lower-case redirects for all the top-level upper-case URLs on d.o

Upper-case URLs on www.d.o were a terrible idea.

Redirect debian.org/bugs to /Bugs (Closes: #883946)

The TCP BBR module is only available on stretch and later

Set referrer-policy to same-origin on debtags.d.o

Per Enrico, "django needs referrers for POST requests"

Enable TCP BBR on a bunch of hosts.  Not all for now, but maybe we should.  (re: RT#6990)

Put vhost for signup.salsa.debian.org on the salsa host (re: RT#7008)

Put cert for signup.salsa.debian.org on the salsa host (re: RT#7008)

Install packages for salsa registration app (re: RT#7008)

Fixup sources.d.n setup

No static component means no vhost generated by the usual macros.

Add sources.d.n static vhost with redirect to sources.d.o

Make redirects from {volatile,women}.d.o to d.o use https

Remove dak's sudoers entry for code signing

Add planet_master role and planet-master.d.o vhost

Access to the vhost is restricted to d.o hosts, the idea being it is
only to be used for testing.

And fix a pronoun

Merge remote-tracking branch 'waldi/sudo-archvsync-runmirrors'

* waldi/sudo-archvsync-runmirrors:
  Add comment to sudoers
  Allow sudo to runmirrors in the current location
  Make sudo set a special path for calls as archvsync user

Add comment to sudoers

Allow sudo to runmirrors in the current location

Make sudo set a special path for calls as archvsync user

This allows consumers (primarily dak) to call tools of the archvsync
user without path.  This makes later switch to the packaged version
easier.

Remove philp from experimental_apache

Upgraded to stretch.

Redirect old children-distros page to new derivatives page

include with the correct name

set vm dirty values

do extra grub for grnet-node01,grnet-node02

set elevator=deadline at grnet

Add kantuser

Add kantuser volume at ubc

set mode of /etc/default/locale to a+r

Add extra netnod servers to ferm

named: add more dnsnode server ACLs

Remove /etc/init.d sudo to spamassassin and amavis - listmaster can go via service(8)

give %list access to service {spamassassin,amavis} {reload,restart,stop,start}

sudo on listhosts: give list group access to postcat as postfix

Once more with feeling

Enable wsgi-py3 for tracker

remove ticharich from experimental_apache group

It's now on stretch

Reduce WAL retention from 21 to 14 days for bmdb1/debsources

Merge remote-tracking branch 'stapelberg/mimetype'

* stapelberg/mimetype:
  manpages: force content-type to text/plain for non-html .gz files

manpages: force content-type to text/plain for non-html .gz files

Distinguish ssl/nossl access logs for planet-backend

Revert "install newer version of devscripts"

devscripts was updated in stretch-backports and now the hardcoded
version doesn't exist.

This reverts commit 55e8d03c4d97a031237a43a1aec3830b0dab5fc7.

Fix planet-backend.d.o

add ssl vhost for planet-backend

Fix http://www.debian.org

Thanks, paravoid

picconi and pkgmirror-csail are on stretch, remove from experimental_apache

Fixup sources.d.o config

Rotate fastly syslogs

Reload syslog-ng after daemon.log rotation to prevent cron spam

seger's dak db is on postgresql 9.6

Disable ftp:// on security-master

Turn off ftp:// on ftp.debian.org

Turn off ftp:// on security mirrors

Add debsources role for sources.d.o

serial options that work on clementi hopefully will also work on czerny

Do not do serial on manda-hosts just yet

puppet managed grub on celemtni, czerny

Disable OCSP stapling on the default vhost

It can't work since we don't run an OCSP responder.

Further restrict access to cgi-bin on popcon.d.o

Remove unneeded bits from the http popcon vhost, and enable HSTS

Import popcon.d.o apache vhost config

Add ssl key/cert for popcon

redirect www.d.o to https

www: Split out onion hostname

Split common-d.o into common-www.d.o and -inner

Add a comment

remove obsolete ServerAlias entries for www-other

redirect www-other (i.e. debian.org, CC.d.o, www.d.CC) to https on www.debian.org now

reject package file names that could be used to install local files.  Issue reported by Julian Andres Klode.

Cleanup experimental_apache role

Not needed on hosts running stretch

Merge branch 'master' of ssh://handel.debian.org/~/dsa-puppet

remove custom casulana rules

RT#6923 - More users and groups

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add mail filters for some aliases (rt#6227)

- add sender callout for leader, patents, trademark
- add greylisting for patents, trademark
- add RBLs for patents, trademark
- add RHSBLs for leader, patents, treasurer, trademark

always a typo

prune ssh ACLs for luca

add more casulana rules for br1

add masquerade rules for casulana virtual machines

undo casulana custom roles

fix up the custom cloud-admins rule

custom rule for cloud-builds on casaluna

add sudo access to group cloud-builds

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

bmdb1 main cluster is back on timeline 1

Ensure mirror-health is restarted after the daemon-reload

Drop klecker from ftp.d.o mirror-health checking

klecker is not part of the set of backends that Fastly uses, so
checking against it has no value and might leave us unhealthy if
klecker is ahead.

mask sys-kernel-debug-tracing.mount and sys-kernel-debug.mount

Add a systemd::mask

Fix octal number in python script to it compiles