dsa-check_puppet_agent was renamed to dsa-check-puppet_agent

get rid of pizzetti

Move listen-address information out of manifest and into hiera

Use ensure_packages to avoid problems with puppet redeclaring resources

Merge branch 'master' of git+ssh://git2.debian.org/dsa/dsa-puppet

remove falla and fischer

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Pull listen addresses for apache mirrors from hiera

This is slightly crazy with a bit of transitional logic.

remove bendel/lists blackhole rules that are probably long obsolete

Fix yaml syntax

Add extra metadata for debian_mirror hosts

This might break puppet completely, will pick up the pieces if so.

Merge branch 'master' of git+ssh://git2.debian.org/dsa/dsa-puppet

remove busoni

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Import cron entries from dsa-nagios-check package

Also randomize dsa-update-apt-status and dsa-update-samhain-status
calls.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Use the right path to health checks on security hosts

Decommission ubc-bl*.debian.org

Luca will make sure that they won't come back.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Publish security mirror health on _health

Fix hiera function call syntax

Start setting up mirror health checking for security too

Cut down a tiny bit on exim config distributed everywhere

Remove obsolete block

Try harder at handling connection timeouts for mirror-health

fasolo, klecker: blacklist acpi power meter. rt#6974

workaround dmesg noisy errors, which are safe to ignore:
```
[3723410.864219] ACPI Error: SMBus/IPMI/GenericSerialBus write requires Buffer of length 66, found length 32 (20160831/exfield-427)
[3723410.890212] ACPI Error: Method parse/execution failed [\_SB.PMI0._PMM] (Node ffffa0e2fe877280), AE_AML_BUFFER_LIMIT (20160831/psparse-543)
[3723410.920171] ACPI Exception: AE_AML_BUFFER_LIMIT, Evaluating _PMM (20160831/power_meter-338)
```

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

systemd: do not reload journald

systemd journal needs a reboot upon configuration refresh

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

godard: enable persistent journald storage. rt#7049

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

wafer: only ask for client certs on the login page

Django sites rely on Referrer headers for XSS protection

wafer wants to be able to write its log, make it run with the debconf-web gid

wafer config uses expires apache module

debussy wants sso_rp for wafer

fixup debconf_wafer role

apache config for wafertest.debconf.org

Use a specific IP address for pages.d.n's vhost

Add debussy to the insecure_ssl role

It wants to use nodejs, and the nodejs package hardcodes
/etc/ssl/certs/ca-certificates.crt (wtf?)

fix pages port once more

fix port for pages

ssl cert for pages.debian.net

do proxypass for pages

SSL for pages.debian.org

ProxyPass everything so we can set nocanon (re: RT#7057)

change redirections about policy manual to 302, since a change back to the multi-page format is under consideration

RT#7058

Signed-off-by: Julien Cristau <jcristau@debian.org>

79.124.75.18 sends us hotel booking spam

update recursors for grnet

Decommission asachi, arm-linaro-01 and arm-linaro-03 (RT#6895)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

use ttyS1 for the kernel console on fasolo

Try to get ipsec between storace and fasolo

And ensure wsgi module gets loaded

Switch debtags to wsgi python3

lower heartbeat intervals

Set Heartbeat Interval in the Director resource instead of each client's Client resource

only manage grub if we have it

samhain ignore /etc/quagga/bgpd.conf and /etc/quagga/zebra.conf

Add zebra and bgpd facters

Fix a typo in previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Always enable page table isolation on stretch/amd64

It is disabled by default on AMD, however enabling it provide more
hardening.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

This sudo is no longer needed

Add the pre-commit hook from handel into the repo, so it is easier to use

Allow adayevskaya to ssh trigger puppetmaster/handel

remove obsolete entry from .gitignore

Fix ProxyPassReverse

Do the same for the git user

Fix linger setup to use variable

Add webhook things for Ganneff based on his patch

let sallinen read sibelius backups

add sallinen to pg server group

give sallinen pg access to sibelius

Redirect linux security updates to security-cdn on all mirrors

Expecting an update for KPTI.

And a homedir for the webhook user

give gitdoadm sudo to salsa-webhook

Do the linux redirect to security-cdn dance on setoguchi

Two more packages for salsa

Requested by Joerg in <878tdfpbyw.fsf@delenn.ganneff.de>

Signed-off-by: Julien Cristau <jcristau@debian.org>

Tweak shell quoting per weasel's suggestion

Delete temp dir in update-fastly-ips script

Use separate static component for planet.d.n vhost (rt#7018)

Add planet.d.n static component (rt#7018)

Add redirections for the Debian Policy manual (now in single page)

Signed-off-by: Julien Cristau <jcristau@debian.org>

merge nagios-wraps crontab into dsa-puppet-stuff

move absent cron.d files to one-line statements to make grepping easier

fix weblog provider fragement

Move crontab weblog-provider into dsa-puppet-stuff

Move crontab static-mirror into dsa-puppet-stuff

Move crontab pg base backup into dsa-puppet-stuff

Move crontab dchroot update into dsa-puppet-stuff

Move crontab geodns boot into dsa-puppet-stuff

Move crontab crazy multipath into dsa-puppet-stuff

Move crontab exim virtualdomains into dsa-puppet-stuff

remove stray punctuation

Move crontab buildd into dsa-puppet-stuff

Move crontab bacula-storage into dsa-puppet-stuff

Move crontab bacula-director into dsa-puppet-stuff

Move puppet-export-scheduled-shutdown into dsa-puppet-stuff

move cron.d/puppet-update-fastly-ips into dsa-puppet-stuff

set MAILTO=root in dsa-puppet-stuff header

move munin-master crontab to dsa-puppet-stuff

restart hp-health on bm-bl* if needed

re-add lost cronjob line

Make dsa-puppet-stuff a concat

bacula-unlink-removed-volumes: do not remove .nobackup files

After rotating log files, sleep a few seconds

This allows syslog to actually reopen files, we're seeing problems
where it's (probably) ignoring the signal since it's in the middle of
rotating already.

Since this runs from logrotate there should be no admin irritation
over it.

disable unprivileged BPF loading

Use ftp.uk.debian.org instead of mirror.bytemark.co.uk at ARM

Hopefully that will fix the chroot creation at ARM.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>