Define public IP addresses in base since we cannot trust facter

facter for git key

remove adayevskaya volume from bm multipath config

Move adayevskaya from bm to manda

Only install intel microcode on amd64

Some other-arch hosts don't seem to have a "processor0" fact, so bypass
that.

Also install intel-microcode

Install iucode-tool on physical machines with Intel CPUs

Use mail port 2025 for new-klecker

sudo: add new-klecker to dell hosts list

Set up serial console on new-klecker

Install libxslt1.1 on dell hosts

omreport: error while loading shared libraries: libxslt.so.1: cannot open shared object file: No such file or directory

nagios-plugins-standard was renamed to monitoring-plugins-standard in 2014

And in buster the transitional package is gone.

Keep postgresql-client-9.6 on storace

Fix postgres-make-one-base-backup for pg 11

The default was changed to -X stream, which doesn't work when sending to
stdout.  There's no way to disable WAL that works with both 9.6 and 11,
so instead backup redundant WAL files with -X fetch.

Keep postgresql-client-9.6 on backuphost

buxtehude is on postgresql 11

consolidate and expand ensure_packages on backup server

whitespace change only -- replace tabs with 2 spaces

Move backup_server:: globals, register_backup_cluster, register_backup_clienthost into their own files

Install ncurses-term everywhere for terminal infos like rxvt-unicode-256color which is in -term on stretch (it is in -base on buster)

Add syncproxy name for smit

add spam filters for community alias RT#7924

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

smit as syncproxy

Delete stray .orig file

Now that we have site included before hiera things, we can do this again

having a module named site is really annoying

Move the single ipsec tunnel we have to my new system.

There are named ipsec "networks".  And any host that is in a named
network will set up ipsec to all the other hosts on that network.

A host can be on more than one network at a time.

Currently we only have the fasolo-storace tunnel, though.  It is
configured in modules/profile/manifests/ipsec/fasolo_storace.pp.

remove olin from bmdb1 access

olin does not need access to a postgres cluster.  It was in the list
since its old IP address was in the list.  That IP address was
previously used by oyens.debian.org, which was the openstack keystone
host before it was retired.  It seems the IP address was not removed
from the access list, and then olin inherited it.

multipath: remove olin (moved to csail)

move loghost from a "role" in hieradata/common.yaml to a role that is included via hiera

dsa_lvm is empty.  remove it

The previos LVM config for the ppc cluster did not have issue_discards.  Let's keep it that way.

spell OSUOSL better

transition osuosl ppc cluster to new lvm config

the arm ganeti cluster also wants issue_discards in its lvm config

transition ubc arm cluster to new lvm config

Similar to the cluster at conova, this effectively replaces filter
with global_filter, and re-enables monitoring.  Also, explicitly set
preferred_names to the empty list.

fix filter setting for conova lvm

transition conova cluster to new lvm config

This re-enables use_lvmetad and monitoring which were disabled two years
ago.  We will find out if this breaks anything.  Maybe with the use
of global_filter instead of just filter it'll be fine.

also remove obsolete lvm-grnet-nodeX-ganeti.conf file

transition prokofiev to new lvm config

transition grnet cluster to new lvm config

transition csail cluster to new lvm config, 2

transition csail cluster to new lvm config

transition bm cluster to new lvm config

transition manda cluster to new lvm config, 4

transition manda cluster to new lvm config, 3

transition manda cluster to new lvm config, 2

transition manda cluster to new lvm config

move ubc-enc2bl02, ubc-enc2bl09 and ubc-enc2bl10 to the new LVM config module

define the update-initramfs exec

move the ubc-enc2bl01 LVM config to a profile included via hiera using the new LVM module

An lvm module that can set issue_discards and global_filter

Add a pristine stretch and buster lvm.conf as a template for some lvm reconciliation work

The syntax check won't let me include our site module, probably due to its name.  Try via hiera, but merge it into base eventually

The syntax check won't let me include our site module, probably due to its name

actually add the base module

move all the unconditional includes from the top-level site.pp into a base module which gets included by the default hiera entry

Include hiera classes

We want to be able to specify which puppet classes a node should include
using hiera.  Start by including hiera classes in the site manifest,
and move the site class so we include something using this mechanism.

Eventually we want to move all the include entries out of manifests/site.pp.

update anonscm.map from formorer

Fix another typo

Fix typo in merged_usr fact

samhainrc: support merged usr layout

Add a merged_usr fact

Fix CSAIL IPv6 subnet

Remove debconf18 vhost from debussy

It moved to static.

ferm: drop FREEBSD_SSH_ACCESS

ferm: add syncproxy.na.debian.org IPv6

Add CSAIL IPv6 range

Bump the language cookie expiry for visits during the expiry period

This ensures that if the user continues to visit the website then
they don't have to manually set the cookie again until they
stop visiting the website for more than the expiry period.

Enable linger for sreview user (RT#7917)

fix ssl client path

stop hardcoding loghost names in syslog-ng template

move syslog ferm into syslog role

make loghost into a role

No more sid/bullseye chroots for mips

RT#7893 Let wanna-build admins sudo to wbadm-web

RT#7862 Let the community team sudo to the community user

Handle ipv6 addresses in named.conf.options

Add mipsel-osuosl-02.debian.org

Redirect unsetlang to the correct location

The substitution was using the wrong match group.

Fixes: commit eef0d1229a8d2627ffc8663eda9bd2d68a0ef09c

Set the cookie domain based on the HTTP domain.

Avoids issues with setting cookies on www-staging.d.o or other mirrors.

Fixes: commit eef0d1229a8d2627ffc8663eda9bd2d68a0ef09c

Add basic support for influencing language selection via cookies.

The UI for language selection in browsers is rarely used or known about
by visitors so websites need to provide a way for visitors to influence
content negotiation using the website itself in addition to the browser.

Setting a cookie is the simplest option for us as the URLs don't change.

The GDPR does not apply and to satisfy the EU cookie law we can include
some explanatory text around the form that sets the cookie.

Visitors should not get their language cookie changed when other folks link
them to URLs for other languages and search engines should not set language
cookies at all. Using POST requests ensures each cookie is only set explictly.

Since Apache mod_rewrite cannot inspect POST data, we use URLs instead.

The default cookie lifetime is about one month (60*24*7*4 minutes).

<CAKTje6EzfE89jBqpLQu1_a3ybYkV7pPcquKzQb6Uz8uu=pGudA@mail.gmail.com>
<f849fde79a325422af9a9553f6672a96382ae262.camel@debian.org>
https://httpd.apache.org/docs/current/content-negotiation.html#exceptions

Add mipsel-osuosl-01.debian.org

Add sso_rp role on wuiet (RT#7892)

debconf20.dc.o vhost

Switch wafertest to dc20

samhain: ignore /etc/exim4/conf.d

This directory is removed by puppet

Enable proxy module for wiki.debconf.org pass-thru rewrite

Fixes: commit f33e5b0b7749df9e3bf60b7b816898f3d07ecc8b
Fixes: commit f3cf7b1e16b58065689c4ae0ded3e41d6782fb13
Requested-by: tumbleweed on #debian-admin

Enable proxy module for wiki.debconf.org pass-thru rewrite

Fixes: commit f33e5b0b7749df9e3bf60b7b816898f3d07ecc8b
Requested-by: tumbleweed on #debian-admin

Merge branch 'pass-through-slash' of https://salsa.debian.org/stefanor/dsa-puppet

Signed-off-by: Tollef Fog Heen <tfheen@err.no>

PassThrough / to /wiki/

So that the response has a Content-Type header (via the ForceType on
/wiki/).

Block 198.108.67.48 from security mirrors for breaking rsync

move pg rule from veyepar to sreview

Allow DC19 access to the PG on vittoria, re: RT#7845

sreview is sreview.debian.net

Move veyepar and sreview into own manifests

www.do: stop doing permanent redirects

Permanent redirects may be cached permanently.  Don't do that.

Add redirects for all the /misc section, and group all the redirects related to /misc

Signed-off-by: Peter Palfrader <peter@palfrader.org>

manda: entropykey moved from czerny to manda-node04

give keyring the ability to reload bind9