do nfs server setup on lw09/lw10

no more 10/8 network at leaseweb

remove sgran from root keys

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

remove sgran IP range. he can hop via master if needed

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

puppet does not have any mail config in /srv/puppet.debian.org/mail

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

backgrounding does not really work remotely

dsa-restart-all-idle-postgres: only restart pg instances that show up in dsa-check-libs

dsa-restart-all-idle-postgres: and do not keep fds open

dsa-restart-all-idle-postgres: disown background jobs instead of waiting for them

in practice make the sleep longer

fix filename

Add script to restart postgres clusters

ignore wb-buildd.more on buildd_master role hosts

samhain ignore /etc/ssh/userkeys/buildd-uploader on ssh upload hosts

Use "restrict" key option for buildd access to upload hosts

Use "restrict" key option for buildd access to wanna-build

Use "restrict" key option for storace's da-backup keys

Use "restrict" key option in debbackup authorized_keys

Simplify portforwarder authorized_keys options

Replace "no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding" with
"restrict" since all hosts using this module are on stretch with new enough
sshd

Put ganeti VMs into their own systemd scope

modules/postgres/manifests/backup_source: add a comment re docs

Add a comment header to /etc/ssh/userkeys/debbackup

Do samhain checks only half as often

Update private IP range at leaseweb

Add debconf18.debconf.org config on debussy (rt#7089)

update sudo for new dsa-check-libs call

Clean up failed rsyncs every few minutes

ignore salsa fd leak in sidekiq for dsa-check-lib purposes

and log checksums correctly

also log failed target

pg-backup-file: continue after failures and only report at the end

Decommission fano and finzi

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

mirror-anu should not actually have an onion address

Improve kpartx rule

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Disable default kpartx udev rule

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Get rid of obsolete vsftpd::site→absent resources

No more conntrackd in bm, so drop firewall opening

Retire ftp.d.o role, it is unused

Clean up debugging foo

steve probably does not care about samhain mails very much

Get rid of unused role

Get rid of some intermediate variables

Move onion IP addresses into hiera

Simplify debian_mirror for hiera-hash

Whitespace

Move debian_mirror over to being a hash

Use .dig to dig into hiera structs

Debugging

Cleanup obsolete absent resource

Get rid of security_mirror_onion role in favour of just keying off the ip address in hiera

sshd: Raise MaxStartups on ssh upload hosts

Decommission fils and fayrfax

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

sshd_config: Remove UsePrivilegeSeparation yes.   on stretch the default is sandbox which seems better

sshd_config: remove commented out options and options where we just use the default value (according to the stretch manpage)

Simplify lookups now that security_mirror is a hash

Switch the security mirror role over to using a hash

Add support to hashes for has_role

In addition to supporting

roles:
  foo:
    - host1
    - host2
    - host3

Add support for:

roles:
  foo:
    host1:
      k1: v1
    host2: ~

as well.

Whitespace fixups

Add localhost listens when listen-addresses is set

Whitespace

Pull out listen addresses from hiera again

Set service-hostname for mirror-conova too

mirror-conova is a fastly backend, mark it as such

Fix typo

Hard code listen IPs while I debug hiera again

Avoid redeclaring the mirror-health file resource

Stop hard coding host list for debian_mirror and use the same code we use for security

Refactor hiera lookup for security mirrors slightly

Since the structure is a list of hashes (for vaguely historical
reasons), we need to unpack the result from hiera before doing the
filtering and selection of the backends.

Gah, puppet!

Use notify, not notice for debugging

Revert "Correct hiera function call syntax"

This reverts commit a6d0545f07cac7f094c6952d57c2580b911aee4b.

Fix has_role to handle richer data structures properly

Hard code deb.d.o backend hosts while debugging

Revert "Debugging"

This reverts commit 199493bc8beb1c63e2459c742cfa891865a1e38f.

Debugging

Debugging

Correct hiera function call syntax

Also redirect mips64el to the mips port family page

Reported-by: sebul <sebuls@gmail.com>
Reported-in: <CANy4eeUSa1mLCASUduCTYzZ4G4egYefBTA7W4TUFWkxeb30CuQ@mail.gmail.com>

Fix a thinko in previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lobos and villa do not have a battery on their raid controller

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

More debugging

Fix typo

More gunking around to see if we can make this work

Make all entries in security_mirror into hashes

More syntax fixing

YAML is hard

Use hiera data for pulling health check data for security hosts

Typos-r-us

Pull list of hosts to health check from hiera

Instead of hard coding the set of hosts that Fastly checks, put the
information in hiera.

Remove backup access from franck.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

dsa-check_puppet_agent was renamed to dsa-check-puppet_agent

get rid of pizzetti

Move listen-address information out of manifest and into hiera

Use ensure_packages to avoid problems with puppet redeclaring resources

Merge branch 'master' of git+ssh://git2.debian.org/dsa/dsa-puppet

remove falla and fischer

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Pull listen addresses for apache mirrors from hiera

This is slightly crazy with a bit of transitional logic.

remove bendel/lists blackhole rules that are probably long obsolete

Fix yaml syntax

Add extra metadata for debian_mirror hosts

This might break puppet completely, will pick up the pieces if so.