Use ldap's purpose field (ganeti/kvm host) to decide which hosts get the puppet ganeti module

Also restrict "ganeti/kvm host" purpose

Try to not limit ganeti firewall rules to v4

sudo: add additional openmanage command line for nagios

Lets us blacklist the battery probe on wieck and schumann.

ferm cleanup: sallinen

ferm cleanup: bmdb1:debsources, fix

ferm cleanup: bmdb1:debsources

ferm cleanup: bmdb1:dedup

ferm cleanup: bmdb1:bacula

ferm cleanup: bmdb1:wannabuild, remove duplicate allow from backuphost

ferm cleanup: bmdb1:wannabuild

ferm cleanup: bmdb1:dak, fix

ferm cleanup: bmdb1:dak

ferm cleanup: bmdb1:main, fix

ferm cleanup: bmdb1:main

also: no longer allow bmdb1:main access from bm-bl9

ferm cleanup: fasolo postgres

test avoiding hardcoding addresses

no more varnish on sibelius

bugs-search no longer runs on sonntag

backlist 51.15.215.91 from snapshot

Revert "99builddsourceslist: temporarily add stretch-proposed-updates to stretch-security chroots"

Debian 9.6 is out, so the temporary workaround is no longer necessary.

This reverts commit 6817281d2e8f2d2a0991b7517d451e6c7e38734a.

samhain: ignore /etc/schroot/dsa/default-mirror

It comes from puppet.

samhain: deal with rename of db.d.o restricted sources.list entry

sudo: add manda-node0[34] to DELLHOSTS

Lets nagios monitor system and storage health.

Fix debian_org::apt_restricted

Install srvadmin foo on dell hosts, and move our restricted archive to debian_org::apt_restricted

and symlink

change megaraid_sas test

ftp.de.debian.org appears to be unavailable -- switch man-da to ftp2

different name for aptrepo

fix class

megaraid_sas

Add megaraid_sas facter

Put grub and kernel on ttyS0 on manda-node0[34]

setup-dchroot: merge from tor (genname split into function, ubuntu updates)

- split schroot base name generation into its own function
- if we build an ubuntu chroot, upgrade to the latest packages available
  in -updates and -security of their suite, since it seems they don't
  ever do point releases so you end up with a 4 year old openssl in your
  chroot.

Temporarily switch off privacy logging for security.d.o

I want to figure out what clients are still hitting it directly,
especially at specific times, so some insight into User-Agents and
timestamps would be useful.

Redirect all of security.d.o to security-cdn

Instead of just /pool/updates/main/l/linux/*, redirect everything except:
- if coming from fastly or aws
- if coming from nagios or mini-nag
- if using the onion service
- if doing a health check

Eventually we might point the security.d.o name directly at the CDN, but let's
see if this helps already.

Exclude dsa-check-mirrorsync nagios check from security to security-cdn redirect

Exclude nagios check_http from security to security-cdn redirect

Prep for making that redirect global

Disable mod_disk_cache on security-tracker

Drop sibelius from postgres-make-base-backups

Drop firewall rule for pg @ sibelius

Remove sibelius/snapshot from dsa-check-backuppg

unique all ip addresses

Try a unique around v4addrs

Revert "sibelius nfs on public net"

This reverts commits 613379c1d1814794d873352a4791c5556eac938f and
1f3cd8bea3ed396c5e1ab35d369e6b72bb27b3f2.

sibelius nfs on public net, 2

sibelius nfs on public net

make fail2ban cleanup job shut up

move DROP blacklists to ferm prio 005, after munin

manually create the subchain

prevent the trailing ; after the subchain

move the fail2ban rules under the dsa-f2b chain

Move logging and related/established out of ferm.conf into a dsa.d rule

move munin rules from conf.d to the rules dir, 2

move munin rules from conf.d to the rules dir

rename interfaces to  50-munin-interfaces

merge munin_ip v4 and v6 into one rule

change default ferm rule priority to 10 from 00

also govern submission port

Clean up fail2ban database

more aggressive fail2ban on exim hosts

Add a second easydns ipv4 address

mirror-isc no longer has the disk to host -debug

Make mirror-conova an onion mirror for -debug

klecker no longer has the disk to host -debug

remove debian.fi

We added it at some point because we thought it'd be given to us,
but two years later it's still not delegated to us and the whois entry
doesn't show us as registrant either.

netnod call the key netnod-debian-20171122

try to switch dnsnodeapi-ACL over to the TSIG key

try a HEREdoc as the syntax checker seems to have issues with multi-line strings

allow respighi to access udd on ullmann

it's used to create the autoremoval hints

merge ipv4 and ipv6 rule for ullmann's dsa-postgres-udd rule

allow ssh from ftpmaster to debug_mirrors

debug_mirror: remove useless and broken filter

Make hiera's debug_mirror look like debian_mirror

fix a prefix len in dsa-postgres-udd6

Remove old klecker IP addresses

Set up grub with serial console at leaseweb

Add health check on debian-debug archive backends

Using *:80 as vhost on mirror-accumu

everything else is using *:80, so if we bind more specific things we
might get precedence we don't want.

fix onion_v4_addr in debug class

fix onion role for debug

put -debug webserver and onion config onto mirror-accumu

do fail2ban on postfix AUTH attempts on lists.d.o

retire old DNS root key

drop manual blacklist of smtp abusers

use fail2ban to block some abusive smtp clients on our MXs (re: RT#7515)

Add smtp_protocol_error to log_selector

We want to learn when clients try to use AUTH LOGIN and friends so we
can block them more easily.

more

more

netfilter DROP traffic from some mail abusers

Start with removing some moszumanska entries (in particular about pg backups).  re: #7513)

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 4

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 3

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls, 2

Do not put our 29.172.in-addr.arpa zone into unbound configs behind fascist firewalls: 1st attempt

restart unbound after putting trust anchors in place

Use temporary redirects for ports redirects to the wiki

The URLs could change to the website or elsewhere at some point.

Suggested-by: weasel

Redirect popcon.d.o ports links that are 404 to the corresponding wiki pages

Add workaround for new Tor configuration requirement

See-also: https://trac.torproject.org/projects/tor/ticket/27849