add symlink

Merge branch 'security-upload-host' of https://github.com/aburch/dsa-puppet

security upload host: /etc/ssh/userkeys/dak should exist

security upload ftp server: disallow directory listings and download

security upload host: enable ftp

Install ansible so the team can deploy their service

Add git user to group redis

fix service home path

make make_base_backups +x

Avoid undefined use of $grub_do_ifnames

switch salsa db to postgres::backup_cluster

manual entries for melartin for fw, authkeys, and make-base-backup should no longer be necessary

Start with puppetizing postgres cluster backup configuration.  for now, only deal with melartin

remove use of "ensure => $servicefiles" with a servicefiles variable we have never defined in this context

There is no bugsmaster role anymore.  Remove remaining users

next step in getting salsa pg backed up

actually add pg's sshkeys-manual

ship pg backup sshkeys in puppet

salsa: allow postgresql connections from backuphosts through firewall

pg: put postgres ssh keys onto backup server

move roles::postgresql_server to postgres::backup_source

add a comment explaining postgresql_server

Create .nobackup flag in non-hardcoded datadir

salsa: Make sure we use pg 9.6, and listen on *

Add salsa-admin@d.o

create salsa database with puppet

new concat no longer works with source => <file> on jessie hosts.  Switch to content => template in the one use of that

Update concat

Update stdlib

newer pg module

salsa: more mail setup

salsa: set mail username and password

salsa: plan to deploy database with puppet, write out credentials to a .yaml file

salsa: no yarn handling

Add actual postgresl module from puppetlabs

Add postgresl module from puppetlabs

Start with salsa.debian.org role/module

Add godard to salsa.debian.org role

replace modules/nagios/files/dsa-nagios with a symlink to a new install location

Replace modules/exim/files/certs and modules/ssl/files/clientcerts with symlinks to the auto-ca

Do not put incoming.debian.org into klecker

install irqbalance on multi-cpu systems

put a basic postfix config in place

put a basic postfix config in place

add heavy_postfix setting in local.yaml, and set smarthosts for not-heavy-postfix postfix hosts

Have postfix include debian_org::mail_incoming_port also

Move incoming mail port handling from exim to the debian_org module

confine allow-all smtp in postfix to role lists

Make the static-mirror-run log per component

Add /srv/security.upload.d.o on suchon

route salsa.debian.org to godard.debian.org

maintain /srv/keyring.debian.org tree in puppet

Add factor to determine whether a host has a keyring.debian.org mirror

run every 2 hours instead of hourly

Split header of puppet-nagios-wraps into own fragment, set orders

Migrate /etc/cron.d/puppet-nagios-hpsa to the puppet-nagios-wraps concat

Switch /etc/cron.d/puppet-nagios-wraps to concat

Put the puppet motd into /etc/motd on stretch hosts

run every 2 hours instead of hourly

Use $::smartarraycontroller_hpsa or $::smartarraycontroller_cciss instead of $::smartarraycontroller

run dsa-check-hpssacli out of cron on smartarraycontroller_hpsa hosts

split smartarraycontroller into smartarraycontroller_cciss and smartarraycontroller_hpsa

We no longer need the memcached module - do not list it in 3rdparty/Puppetfile

setup-dchroot: only keep 2 old chroots

Since the switch to gcc-7 as default compiler, the chroots are much
bigger. Only keep the two last ones to save space.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

ubc-bl[26] are down -- no longer use them as NTP servers

manage grub on bytemark blades, and enable nopat

multipath/templates/multipath-bm-os.conf.erb is unused, remove

Remove a bunch of 3rdparty modules that seem unused

These are: apache, aviator, cinder, glance, horizon, inifile,
keystone, memcached, neutron, nova, openstacklib, qpid, vswitch.

memcached (openstack) is no longer in use

keystone (openstack) is no longer in use

Remove elasticsearch module, it is no longer needed

Retire stockhausen/listsearch (RT#6848)

Add antiharassment to callout_users, grey_users, rbllist, and rhsbllist

vittoria on pg9.6

removed weak ssh key; added new admin key

Use ensure => "present" for video.debian.net ssl

It doesn't have any files so it doesn't have a static component.

ssl::service only transfers certificates for services that
have static components defined.

Add TLS for video.debian.net and the redirects within it

meetings-archive.debian.net now supports https so
using https for both the initial request and the
redirect to meetings-archive would be nice.

Decommission gigault.debian.org

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Do limit group sftponly to sftp

make sure /etc/default/grub.d is just populated by puppet

Simplify setting grub_do_nopat

Also redirect URLs that are missing a trailing slash

Prevents 404 errors when loading http://deb.debian.org/debian

See-also: http://forums.debian.net/viewtopic.php?f=20&t=134288
See-also: <20170812033010.GA23525@elchanate.org>

Try to route git mail to godard -- the service is called salsa

Try to route git mail to godard

spell aagaard right

fix templates

fasolo grub

manage grub on arm-arm-03

manage grub on arm-arm-01

aagard, acker grub

skroutz does not need nopat

Use ttyAMA0 based on hostname instead of arch

split grub and kernel serial

puppetized grub on mirror-skroutz, mirror-accumu

beach is on stretch too, so remove from experimental-apache

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Revert "temporarily disable ntp install fu while we get virt-what installed"

This reverts commit e97ada246f6bbbdb8007d1156db9007b518aaf43.

draghi is on stretch too, so remove from experimental-apache

Move nopat setting to puppetized grub on casulana,mirror-anu,sallinen,storace; and also enable serial

Configure ubc blade grub with puppet

temporarily disable ntp install fu while we get virt-what installed