mirror-isc no longer has the disk to host -debug

Make mirror-conova an onion mirror for -debug

klecker no longer has the disk to host -debug

remove debian.fi

We added it at some point because we thought it'd be given to us,
but two years later it's still not delegated to us and the whois entry
doesn't show us as registrant either.

netnod call the key netnod-debian-20171122

try to switch dnsnodeapi-ACL over to the TSIG key

try a HEREdoc as the syntax checker seems to have issues with multi-line strings

allow respighi to access udd on ullmann

it's used to create the autoremoval hints

merge ipv4 and ipv6 rule for ullmann's dsa-postgres-udd rule

allow ssh from ftpmaster to debug_mirrors

debug_mirror: remove useless and broken filter

Make hiera's debug_mirror look like debian_mirror

fix a prefix len in dsa-postgres-udd6

Remove old klecker IP addresses

Set up grub with serial console at leaseweb

Add health check on debian-debug archive backends

Using *:80 as vhost on mirror-accumu

everything else is using *:80, so if we bind more specific things we
might get precedence we don't want.

fix onion_v4_addr in debug class

fix onion role for debug

put -debug webserver and onion config onto mirror-accumu

do fail2ban on postfix AUTH attempts on lists.d.o

retire old DNS root key

drop manual blacklist of smtp abusers

use fail2ban to block some abusive smtp clients on our MXs (re: RT#7515)

Add smtp_protocol_error to log_selector

We want to learn when clients try to use AUTH LOGIN and friends so we
can block them more easily.

more

more

netfilter DROP traffic from some mail abusers

Start with removing some moszumanska entries (in particular about pg backups).  re: #7513)

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 4

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 3

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 2

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls: 1st attempt

restart unbound after putting trust anchors in place

Use temporary redirects for ports redirects to the wiki

The URLs could change to the website or elsewhere at some point.

Suggested-by: weasel

Redirect popcon.d.o ports links that are 404 to the corresponding wiki pages

Add workaround for new Tor configuration requirement

See-also: https://trac.torproject.org/projects/tor/ticket/27849

we send mail from nagios@.  make it exist

Try to samhain ignore /var/lib/puppet/clientbucket more

and get dependency right

Add munin-async service to the catalog

Set munin-async restart time to 10sec

Sometimes munin-async fails to start, presumably because it cannot
connect to the running munind yet.  The service file tells it to
restart always, but with the default sleep time before a restart of
100ms we often run into
 systemd[1]: munin-async.service: Start request repeated too quickly.
after 5 fails attempts within a second or two.

Give munind more time to actually launch.

Start repro only after we are online

It fails to bind to its IP addresses otherwise.

Try to samhain ignore /var/lib/puppet/clientbucket

Also ask our nagios check if drbd is fine

ganeti-reboot-cluster: wait for drbd to have caught up

and a mirror

larger net

one more net

the amazon crawlers change IP address as soon as they are blocked

blacklist more amazon aws

blacklist 18.185.157.46 and 18.194.174.202

99builddsourceslist: remove jessie-kfreebsd hacks

99builddsourceslist: temporarily add stretch-proposed-updates to stretch-security chroots

Temporarily add stretch-proposed-updates for stretch-security chroots as requested
by the security team to handle Thunderbird and Firefox ESR 60.x releases. This should
be removed with the release of the 9.5 point release.

setup-all-dchroots: fix architecture list generation

Try one fewer threads per snapshot process

remove old cleanup items

Move default webpage from apache to webserver module

Move creation of /run/dsa/shutdown-marker to a new common webserver module

setup-all-dchroots: Support rebuilding just one arch/suite

setup-all-dchroots: move DPKGARCH to where it's used

setup-all-dchroots: remove unused $UNAMEARCH

setup-all-dchroots: documentation comments

setup-all-dchroots: We use extraargs as a global variable, write it in caps

setup-all-dchroots: get rid of obsolete variable "$extra" that is always the empty string

setup-all-dchroots: move all main code to after function declarations

setup-all-dchroots: copy from tor: -c support

Add option to just write config files.  Also revamps parameter parsing.

setup-all-dchroots: tabs to spaces

Add bttracker alias to the cdimage maintenance vhost

Create missing directory

Prepare maintenance page for cdimage.d.o and friends

Add diversity@d.o to various exim config bits

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

porterbox: install dgit. rt#7366

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

Don't manage salsa's /run/redis

Permissions conflicts with the package's
/usr/lib/tmpfiles.d/redis-server.conf so we keep changing them and
restarting the service needlessly.

all our hosts still want stretch::network_online though

bacula-fd: se ipv6 address from ldap since DNS during boot is icky

get our ipv[46] ldap addresses

bacula-fd: wait for unbound also

Revert "allow access to pg on vittoria for dc18"

This reverts commit 21edc51f3c8a84ec014b0f0bffc8ebd972b6b2f2.

Revert "RT#7368: add additional IP"

This reverts commit e764ff0ec7eaccac713c15cb4c3fb284649b850b.

wait until after network-online.target for bacula-fd

Decommission powerpc-osuosl-01

Decommission powerpc-unicamp-01

add 'do not modify' headers

Signed-off-by: Luca Filipozzi <luca.filipozzi@gmail.com>

action RT#7389 - debconf19.debconf.org setup

Signed-off-by: Luca Filipozzi <luca.filipozzi@gmail.com>

action RT#7389 - debconf19.debconf.org setup

Signed-off-by: Luca Filipozzi <lfilipoz@emyr.net>

complete RT#7389

Signed-off-by: Luca Filipozzi <lfilipoz@emyr.net>

re-add vhost after x509 certificate issuance

Signed-off-by: Luca Filipozzi <lfilipoz@emyr.net>

revert vhost until x509 cert deployed

Signed-off-by: Luca Filipozzi <lfilipoz@emyr.net>

action RT#7389 - debconf19.debconf.org setup

Signed-off-by: Luca Filipozzi <lfilipoz@emyr.net>

bacula-sd: listen on ipv6

allow ipv6 connections to all clients from the bacula director

bacula-ferm: we do not need to explicitly allow connections from localhost

whitespace fix

bacula: reorder a statement (should cause no effective change)

add Forwarded-For header

whitespace fixup

add a ,

bacula-fd: listen on both ipv4 and ipv6

Add has_v[46]_ldap key to nodeinfo['misc'] to say whether we have a v[46] address in ldap