aagaard-> conova-node01

acker -> conova-node02

Touch /srv/static.debian.org/.nobackup

create /srv/static.debian.org/master static-masters

create ~staticsync/static-master -> /srv/static.debian.org on static-masters

And remove second /srv/static.debian.org dir from static-mirror class

Move mirror-master to static-master-grnet-01 from dillon

fix class

Create /srv/static.debian.org on static mirrors and masters (not on sources)

Move /usr/local/bin/static-update-component from static_source to statice_base, and have static_mirror include static_base instead of static_source

Add static-master-grnet-01 as a static-master

Do not do regex fo on variables that might not be defined yet

Set /etc/environment and /etc/default/locale with puppet instead of in new-machine howto

Set root alias via samhain

syntax fix

Move samhain_recipients to hiera

Install userdir-ldap

Install debian.org-recommended

Set grub config on mirror-isc

Add slapd service definition

Restart slapd on TLS cert renew

Restart repro when the sip-ws TLS cert is renewed

redirect linux updates to security-cdn

avoid overloading security mirrors

Put mirror-master only on klecker and mirror-isc

install python-requests on salsa

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add buildd to paths we facter

Add debian-buildd to syncproxy rsyncd

exim: treat Subject as a single line during regexp match for RT

This should hopefully fix truncation of multi-line subject header fields
and thus rt ticket titles.  Thanks, adsb.

Make debian-buildd tree available over rsync for syncproxies

add ruby-ldap to salsa

Revert "disable different paths on mirror-conova for now"

This reverts commit 2a639d0531ce5dd40e28cd033908fa244a127112.

Don't set grub_do_nopat or grub_do_extra unless grub_manage is set

disable different paths on mirror-conova for now

mirror-conova: move syncproxy to default paths, move debian mirrors to public-* paths

make a hiera setting for mirror base directory (/srv/mirrors)

flatten hiera role_config/syncproxy/mirror_basedir_prefix to role_config__syncproxy/mirror_basedir_prefix

Make historical mirror rsync template use the archive_root variable

historical mirror: make rsyncd.conf a template

Make ports mirror template use an @archive_root and @archive_cd_root variable defined in the manifest

Make debug mirror template use an @archive_root variable defined in the manifest

rsycnd.conf.erb: make future changes less likely to break stuff

fix ruby in rsycnd.conf.erb template

do not list debian-security archive

Make syncproxy mirror basedir configurable in hiera, and use it in all templates.  Also make the syncproxy rsync template a loop and fix debian-ports list check in the process

complete transition to dedicated admin key

s/8080/8181/g

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

update salsa.d.o ProxPassReverse from port 8080 to port 8181

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add arm-conova-02.debian.org (arm64 buildd)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ferm: restrict access to all buildds

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Make last commit work

Exim's command language is complex and hard to get right, so adjust as
necessary to make this behave in a predictable way.  Also use explicit
true/false to make condition= not upset.

Handle disabling of addresses with extensions correctly

salsa: make an /etc/ssh/userkeys/git

salsa: require all granted on the document root

salsa: needs apache2::rewrite

give ProxyPassReverse a path

salsa: update apache config

Tune proxypass, shortcut static files, add a few headers,
and set up error documents,

remove mpt-status everywhere

No debian.org host actually has a working mpt-status.  On wieck on
stretch it also keeps sendung us mail.  Get rid of it everywhere.

In a next step, we should also retire the facter.

deploy a basic apache config for salsa

enable-linger git

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add python-hkdf for salsa

Add amdahl.debian.org (arm64 porterbox)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

switch buxtehude to more puppetized pg backups

buildds: add an rsync-security entry to dupload.conf

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

fix filename

Add ~/.credentials-manual.yaml to salsa

ruby-dev for salsa

give gitlab a random key for encrypting its DB

grub: don't hardcode the list of hosts with nopat

remove duplicate acker entry

grub: nopat on villa, once more with feeling

grub: nopat on villa

villa on stretch, no more experimental_apache

Make insecure_ssl a role

ssl/ca-global: add certs recently removed from nss to blacklist

ssl/ca-global: add ANSSI and CNNIC to the blacklist

Fix some paths in the SSL config comments

Also apply the ca-global blacklist on godard

Disable the usual SSL setup for godard

ssl/ca-global: blacklist SPI/StartCom/WoSign CAs

Start moving vittoria over to puppetized pg backup

firewall: Start moving vittoria over to puppetized pg backup

remove temporary dc17 access to vittoria

Start moving vittoria over to puppetized pg backup

Maintain /etc/nagios/dsa-check-backuppg.conf with puppet

use ttyS1 on storace also in grub

use ttyS1 on storace

rsync-ssh-wrap: also allow uploads to SecurityUploadQueue

Signed-off-by: Julien Cristau <jcristau@debian.org>

vsftp::site wants a root parameter, even when disabling it

remove ftp_upload role from suchon

put an ssl cert on salsa

add symlink

Merge branch 'security-upload-host' of https://github.com/aburch/dsa-puppet

security upload host: /etc/ssh/userkeys/dak should exist

security upload ftp server: disallow directory listings and download

security upload host: enable ftp

Install ansible so the team can deploy their service

Add git user to group redis

fix service home path

make make_base_backups +x

Avoid undefined use of $grub_do_ifnames