Merge remote-tracking branch 'waldi-salsa/godard-apache' into HEAD

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock more certificates

RT#7092: Apache on godard adds an additional X-Xss-Protection

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Import facts from godard

octocatalog: add dummy file for LE service certs

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock ldapinfo during octocatalog runs

Revert "99builddsourceslist: access the security archive using https"

This reverts commit f77a22de23c38230527be61375482971dea55fef.

This doesn't work, we also need ca-certificate in the chroot :-(

99builddsourceslist: access the security archive using https

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fully retire spontini.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Also drop security anycast-test mirrors

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

snapshot storage nodes want the toolchain to build the snapshot fsck utility

setup-dchroot: fix a typo

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Install apt-transport-https in the buildd chroots

This will be used to access the security archive in a more private way.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop anycast-test mirrors from apt

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

More kfreebsd removal

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

setup-all-dchroots: get rid of kfreebsd and ppc64

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

nagios: use dsa-check-systemd-services instead of systemctl is-system-running

Also systemctl reset-failed failed session-nnn.scope

Move failed rsync cleanup into systemd module

octocatalog: add dummy file for LE service certs

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Merge remote-tracking branch 'origin/master' into zobel-salsa

Fixup local-mirror.cdbuilder sites-enabled symlink name

Add {deb,security}.d.o aliases to local-mirror.cdbuilder

use ttyS1 for the serial console on casulana

Get trailing slashes right for aliases

First go at cdbuilder local mirror export (re: RT##7101)

Add a apache_not_public role where we do not add ferm allow rules and put casulana into it

no more experimental_apache (previously cgi-grnet-01, pejacevic, petrova)

Add cdbuilder-logs static component (re: RT##7101)

Add casulana as a static source for cdbuilder-logs (re: RT##7101)

Merge branch 'master' into zobel-salsa

RT#7092: Apache on godard adds an additional X-Xss-Protection

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Test with Puppet 4.8

Update facts

Move nagios stuff

Move generated cert files to new location

Update octocatalog job

Test with Puppet 4.8

Update facts

Move nagios stuff

Move generated cert files to new location

Update octocatalog job

rsync on lw09,lw10

update lw autotab

update lw autotab

do nfs server setup on lw09/lw10

no more 10/8 network at leaseweb

remove sgran from root keys

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

remove sgran IP range. he can hop via master if needed

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

puppet does not have any mail config in /srv/puppet.debian.org/mail

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

backgrounding does not really work remotely

dsa-restart-all-idle-postgres: only restart pg instances that show up in dsa-check-libs

dsa-restart-all-idle-postgres: and do not keep fds open

dsa-restart-all-idle-postgres: disown background jobs instead of waiting for them

in practice make the sleep longer

fix filename

Add script to restart postgres clusters

ignore wb-buildd.more on buildd_master role hosts

samhain ignore /etc/ssh/userkeys/buildd-uploader on ssh upload hosts

Use "restrict" key option for buildd access to upload hosts

Use "restrict" key option for buildd access to wanna-build

Use "restrict" key option for storace's da-backup keys

Use "restrict" key option in debbackup authorized_keys

Simplify portforwarder authorized_keys options

Replace "no-pty,no-port-forwarding,no-X11-forwarding,no-agent-forwarding" with
"restrict" since all hosts using this module are on stretch with new enough
sshd

Put ganeti VMs into their own systemd scope

modules/postgres/manifests/backup_source: add a comment re docs

Add a comment header to /etc/ssh/userkeys/debbackup

Do samhain checks only half as often

Update private IP range at leaseweb

Add debconf18.debconf.org config on debussy (rt#7089)

update sudo for new dsa-check-libs call

Clean up failed rsyncs every few minutes

ignore salsa fd leak in sidekiq for dsa-check-lib purposes

and log checksums correctly

also log failed target

pg-backup-file: continue after failures and only report at the end

Decommission fano and finzi

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

mirror-anu should not actually have an onion address

Improve kpartx rule

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Disable default kpartx udev rule

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Get rid of obsolete vsftpd::site→absent resources

No more conntrackd in bm, so drop firewall opening

Retire ftp.d.o role, it is unused

Clean up debugging foo

steve probably does not care about samhain mails very much

Get rid of unused role

Get rid of some intermediate variables

Move onion IP addresses into hiera

Simplify debian_mirror for hiera-hash

Whitespace

Move debian_mirror over to being a hash

Use .dig to dig into hiera structs

Debugging

Cleanup obsolete absent resource

Get rid of security_mirror_onion role in favour of just keying off the ip address in hiera

sshd: Raise MaxStartups on ssh upload hosts

Decommission fils and fayrfax

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

sshd_config: Remove UsePrivilegeSeparation yes.   on stretch the default is sandbox which seems better

sshd_config: remove commented out options and options where we just use the default value (according to the stretch manpage)

Simplify lookups now that security_mirror is a hash