donizetti is now at ubc

No longer allow nagios to recurse on our binds

nagiosmaster -> hiera role; bind acls still not converted

merge SSH_SOURCES and SSH_V6_SOURCES

Our (DSA) home networks do not need to access rabbitmq services

Move archvsync ferm sshs from the input chain to the new ssh chain

Allow nagios to ssh to our hosts

avoid top-scope variable being used without an explicit namespace

whitespace change

Make an explicit iptables ssh chain

add donizetti volumes at ubc

prefix ticharich volumes with OLD-

Remove empty ferm::zivit

iptables -vnL on zelenka suggests that zivit no longer does rrdcollect and zabbix against our machine

Apparently we no longer monitor the time service on zivit hosts

fix param name

bgp -> hiera role

Merge branch 'debianmirrorrole'

* debianmirrorrole:
  Do not ship sbin/mirror-health from the roles version while we migrate
  debian_mirror -> hiera role

Do not ship sbin/mirror-health from the roles version while we migrate

debian_mirror -> hiera role

Move allow-all smtp from the mta class to the exim and the lists class

We have some hosts that get their @host mail from the smarthost,
but that still accept mail from the internet.

ticharich at ubc

retire obsolete muninmaster entry from common.yaml

mirror_health: this_host_service_name is now optional

munin/master_per_node: no longer needs to be backwards compatible

munin/master_per_node: try to be backwards compatible

muninmaster -> hiera role, new ssh store/collect, no more plain text munin fetching firewall rules (it is all async via ssh these days)

All our munin is munin-async these days

munin class cleanup

All our munin is munin-async these days

mirror_health: add param description

add ticharich volumes at ubc

Use variable correctly

Move debug healthcheck info to hiera

Move debug to store/collect health checker

Fix previous commit

The klecker-ftp.d.o address has been moved to new-klecker

Therefore:
- move the corresponding listen addresses to new-klecker
- drop the debian_mirror role from klecker

As debian.mirrors.d.o gets checked by the health checker, explicitly listen on localhost

As debug.mirrors.d.o gets checked by the health checker, explicitly listen on localhost

debug_mirror -> hiera role, first step

whitespace change

remove historical_mirror has_role call for inclusion; no longer needed

historical_mirror -> hiera role

Since there are no onion mirrors right now, remove that code from the
role.

historical_master -> hiera role

ports_master -> hiera role

ftp_master -> hiera role

include signing from the ftp_master role

whitespace/quoting: modules/roles/manifests/signing (make lint happy)

make ftp-master include dakmaster directly

whitespace/quoting: modules/roles/manifests/dakmaster (make lint happy)

security_master -> hiera role

retire old HOST_MAILRELAY ferm variable

retire mail_port config from local.yaml

Merge virtualdomains setup into exim/init

move the remaining virtualdomains to the mailrelay class

remove manualroute cleanup; it has run everywhere

And fix name in manualroute.pp

Use correct variable scope in manualroute.pp

Move to collected manualroute

Register manualroutes from the service class for the three services that had it hardcoded in the exim class; and make a roles::salsa

Create an exim::manualroute define

Switch to the hiera optional mail_port

remove smtp_sources from ferm's me.conf, retire old-style heavy_{exim,postfix} roles

Move TLSA for submission port from exim::mx role to the mailrelay role

remove default firewall accept to port submission on the MXes

Retire debian_org::mail_incoming_port which did the default firewalling for the mail ports

Move tlsa setup from mail_incoming_port to mta role

Make the manualroute explicitly send to port 25 by default as that simplifies the logic here

Try to add firewalling to enable mail satellites to connect to the submission port on the mail relays

bugs_master: allow incoming mail to the submission port from the role

Have the nagios-server export an smtp-allow rule to the mail satellites

Re-tag the store/collect ferm rule for mailrelays to satelliltes from smtp::server::from::mailrelay to smtp::server::to::mail-satellite

On non-satellites, allow smtp from the world

Fail if we are not an MX and do not have set MX to the mail relays

also remove tye from the old heavy-exim role.  that should probably be cleaned up next

retire i18n.debian.org mail setup

After discussion on #debian-admin, it seems @i18n.debian.org is not used
these days.

As such, remove tye from the heavy-exim roles and remove the virtual
email domain.  the mx stuff on tye will be cleaned up manually.

Have the www-master role declare its exim virtualdomain

Have the rt role declare its exim virtualdomain

Quantz should have the packagesqamaster role

It already did, but that was lost a few days ago in
4dcb0bb6ab00da402d5939588bf5793a917f8b02 when we introduced the
dedicated manifest for the role.

Have the qa and packages.qa roles declare their exim virtualdomain

Have the popcon role declare its exim virtualdomain

note that there is role specific exim config for bugs and packages

Have the packages role declare its exim virtualdomain; changing group from Debian to pkg_maint

Have the nm role declare its exim virtualdomain

Have the buildd_master role declare its exim virtualdomain

Have the dbmaster role declare its exim virtualdomain

Have the bugs_master role declare its exim virtualdomain

vdomain: do not create and/or mess with the modes of basedir

Have the tracker role declare its exim virtualdomain

Have the vote role declare its exim virtualdomain

Document exim::vdomain, make files ownable by somebody other than root, retire alias_file parameter

Document exim::vdomain, make files ownable by somebody other than root, retire alias_file parameter

Disable manualroute-new and prepare for collecting the new file as manualroute

Fix mail_port for zani

most of the mta firewalling is not exim specific

Set port to 25 explicitly instead of undef if we do not have it overwritten for this host

On hosts that get mail via mailrelays, try to collect the ferm rule that will allow access

Even heavy_exim hosts can get their system mail from relays

mxRecord is actually an array called mXRecord

Try to make the manualroute on the mailrelays using a store/collect pattern