snapshot: allow 6 requests per minute even to clients that we think are excessive

snapshot_web dynamic rules

snapshot_web dynamic rules

Drop apache2deb9 variable

All our apaches are stretch at this point.

Add data-protection@d.o to various exim config bits

port 6081 should be allowed via snapshot

try apache rate limiting on snapshot hosts, 2

try apache rate limiting on snapshot hosts

add template

parts of the nagios setup

nagios: install some packages and define service

debian nagios service does not use digest auth

nagios: we do not need proxy_http

add apache::authn_anon and apache::auth_digest

nagios master: apache vhost

start using nagios::server again, move cert setup there

remove obsolete stuff from nagios::server

restart stale icinga automatically

wider regex for clearing failed rsyncd service to catch rsyncd-snapshot-farm@

ignore ruby-dbi ruby-deprecated ruby-dbd-pg on snapshot hosts

ignore ruby-dbi ruby-deprecated ruby-dbd-pg on snapshot hosts

set expires: headers on alioth-archive

Add a few pointers on the anonscm index page

index page for anonscm, 2

index page for anonscm

put an /srv/anonscm.debian.org/htdocs in place

vhost cleanup

vhost update

non-SSL is on 80

Use anonscm.map

try to put anonscm.map onto host, 3

try to put anonscm.map onto host, 2

try to put anonscm.map onto host

prepare anonscm vhost

set hsts on snapshot

Try to put haproxy on snapshot hosts

Add a logging device for haproxy

Add haproxy module from tor

a haproxy facter

More verbose setup-all-dchroots when run in a terminal

install snapshot cert

sallinen: retire 443->5473 dnat

Fetch sallinen.debian.org snapshot backups from port 5473

pg ssh auth: danzi: remove read for sibelius; lw07: switch read sibelius to read sallinen; sallinen: remove read sibelius

backup sallinen pg

sallinen has a pg server

pg firewalling

add lw07 to snapshot_web group

start varnish only after network is online

Try an network_online target for stretch hosts

And setup ferm, 2

And setup ferm

add -j unix,user=vcache -F to varnishd call

and use array for listening ports

varnish on stretch now takes several -a arguments instead of one with multiple addresses

sallinen varnish, 2

sallinen varnish

a very basic generic varnish module

rename varnish to varnish_pkgmirror module

rename varnish to varnish_pkgmirror module

allow archvsync to trigger snapshot imports

block mails from @qq.com

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix kanboard role (php wants mpm_prefork)

add a kanboard role

kanboard group members can run stuff as kanboard on kantuser

Fixup previous commit, log directory permissions were already defined

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

pybuildd: ensure that the build and logs dir have the correct permissions

This should go away once pybuildd issue #3 is solved.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

New IP ranges for jcristau

Fix acquire-reboot-lock molly-guard hook to actually keep the lock until shutdown

RT#6893

retire old basic-ssh_known_hosts setup

put initial ssh_known_hosts in place and run ud-replicate by puppet

and indexes on alioth-archive

alioth-archive needs mod rewrite

fix path

alioth-archive apache site

snapshot: rewrite module

Add apache vhost

put apache on sallinen

sudo for alioth-archive

create /srv/alioth-archive on alioth-archive host

dedication for grabbe

install apache on alioth archive

prepare alioth archive puppet role

fix grabbe-lvm volume name

add grabbe volumes

Fixup buildd manifest for jessie

pkg-ruby-extras.alioth.d.o on static

Give up on the distinction between /etc/ssl/certs and /etc/ssl/ca-debian

1) we don't ship EE certs in puppet anymore so the former was empty
2) most software nowadays requires actual CA certs in its trust store
   rather than EE certs

Remove CAs we no longer use from /etc/ssl/ca-debian/

Also remove /usr/local/share/ca-certificates/debian.org

Get rid of /etc/ssl/servicecerts

All active certs are now coming from letsencrypt.

check-libs: ignore all access to /srv/salsa/repos by user git, regardless of process name

Decommission zemlinsky.d.o (RT#7208)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Remove buildd package on pybuildds based buildds

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: use a different configuration for buildd and pybuildd

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Reorganize buildd module into different sections

That'll help the switch from buildd to pybuildd

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: drop old compat code, make more jessie code conditional

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: remove buildd-schroot-aptitude-kill.squeeze

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Allow ftp-masters access to the dak-code user

RT#7206

Merge branch 'godard-apache' of https://salsa.debian.org/waldi/dsa-puppet

RT#7092