Enable TCP BBR on a bunch of hosts.  Not all for now, but maybe we should.  (re: RT#6990)

Put vhost for signup.salsa.debian.org on the salsa host (re: RT#7008)

Put cert for signup.salsa.debian.org on the salsa host (re: RT#7008)

Install packages for salsa registration app (re: RT#7008)

Fixup sources.d.n setup

No static component means no vhost generated by the usual macros.

Add sources.d.n static vhost with redirect to sources.d.o

Make redirects from {volatile,women}.d.o to d.o use https

Remove dak's sudoers entry for code signing

Add planet_master role and planet-master.d.o vhost

Access to the vhost is restricted to d.o hosts, the idea being it is
only to be used for testing.

And fix a pronoun

Merge remote-tracking branch 'waldi/sudo-archvsync-runmirrors'

* waldi/sudo-archvsync-runmirrors:
  Add comment to sudoers
  Allow sudo to runmirrors in the current location
  Make sudo set a special path for calls as archvsync user

Add comment to sudoers

Allow sudo to runmirrors in the current location

Make sudo set a special path for calls as archvsync user

This allows consumers (primarily dak) to call tools of the archvsync
user without path.  This makes later switch to the packaged version
easier.

Remove philp from experimental_apache

Upgraded to stretch.

Redirect old children-distros page to new derivatives page

include with the correct name

set vm dirty values

do extra grub for grnet-node01,grnet-node02

set elevator=deadline at grnet

Add kantuser

Add kantuser volume at ubc

set mode of /etc/default/locale to a+r

Add extra netnod servers to ferm

named: add more dnsnode server ACLs

Remove /etc/init.d sudo to spamassassin and amavis - listmaster can go via service(8)

give %list access to service {spamassassin,amavis} {reload,restart,stop,start}

sudo on listhosts: give list group access to postcat as postfix

Once more with feeling

Enable wsgi-py3 for tracker

remove ticharich from experimental_apache group

It's now on stretch

Reduce WAL retention from 21 to 14 days for bmdb1/debsources

Merge remote-tracking branch 'stapelberg/mimetype'

* stapelberg/mimetype:
  manpages: force content-type to text/plain for non-html .gz files

manpages: force content-type to text/plain for non-html .gz files

Distinguish ssl/nossl access logs for planet-backend

Revert "install newer version of devscripts"

devscripts was updated in stretch-backports and now the hardcoded
version doesn't exist.

This reverts commit 55e8d03c4d97a031237a43a1aec3830b0dab5fc7.

Fix planet-backend.d.o

add ssl vhost for planet-backend

Fix http://www.debian.org

Thanks, paravoid

picconi and pkgmirror-csail are on stretch, remove from experimental_apache

Fixup sources.d.o config

Rotate fastly syslogs

Reload syslog-ng after daemon.log rotation to prevent cron spam

seger's dak db is on postgresql 9.6

Disable ftp:// on security-master

Turn off ftp:// on ftp.debian.org

Turn off ftp:// on security mirrors

Add debsources role for sources.d.o

serial options that work on clementi hopefully will also work on czerny

Do not do serial on manda-hosts just yet

puppet managed grub on celemtni, czerny

Disable OCSP stapling on the default vhost

It can't work since we don't run an OCSP responder.

Further restrict access to cgi-bin on popcon.d.o

Remove unneeded bits from the http popcon vhost, and enable HSTS

Import popcon.d.o apache vhost config

Add ssl key/cert for popcon

redirect www.d.o to https

www: Split out onion hostname

Split common-d.o into common-www.d.o and -inner

Add a comment

remove obsolete ServerAlias entries for www-other

redirect www-other (i.e. debian.org, CC.d.o, www.d.CC) to https on www.debian.org now

reject package file names that could be used to install local files.  Issue reported by Julian Andres Klode.

Cleanup experimental_apache role

Not needed on hosts running stretch

Merge branch 'master' of ssh://handel.debian.org/~/dsa-puppet

remove custom casulana rules

RT#6923 - More users and groups

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add mail filters for some aliases (rt#6227)

- add sender callout for leader, patents, trademark
- add greylisting for patents, trademark
- add RBLs for patents, trademark
- add RHSBLs for leader, patents, treasurer, trademark

always a typo

prune ssh ACLs for luca

add more casulana rules for br1

add masquerade rules for casulana virtual machines

undo casulana custom roles

fix up the custom cloud-admins rule

custom rule for cloud-builds on casaluna

add sudo access to group cloud-builds

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

bmdb1 main cluster is back on timeline 1

Ensure mirror-health is restarted after the daemon-reload

Drop klecker from ftp.d.o mirror-health checking

klecker is not part of the set of backends that Fastly uses, so
checking against it has no value and might leave us unhealthy if
klecker is ahead.

mask sys-kernel-debug-tracing.mount and sys-kernel-debug.mount

Add a systemd::mask

Fix octal number in python script to it compiles

Revert "Use RedirectPermanent instead of RewriteRule"

This reverts commit abb8a9a1d0c72a616e297be5a1b091b6c9a74191.

Use RedirectPermanent instead of RewriteRule

Better debian-ports.org/debian-cd redirection

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop remaining debian-ports-cd code

Redirect ftp.ports.debian.org/debian-ports-cd to cdimage

Update debian-ports.org/debian-cd redirection to cdimage.d.do

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Format weekly stunnel restart script nicer

Have gobby reload its config when we change its ssl cert

remove auto-cert and auto-clientcert symlinks from fileserver path

fix one path

Try to replace file access to auto-ca things with templates

Add syncproxy addresses to ssh whitelist

And more move things

move ssl/clientcerts to ssl/auto-clientcerts

move exim/certs to ssl/auto-certs

Stop hardcoding /srv/puppet.debian.org/from-letsencrypt/ all over the place

remove from-letsencrypt symlink from fileserver path

Make db key loaded from a template