Make last commit work

Exim's command language is complex and hard to get right, so adjust as
necessary to make this behave in a predictable way.  Also use explicit
true/false to make condition= not upset.

Handle disabling of addresses with extensions correctly

salsa: make an /etc/ssh/userkeys/git

salsa: require all granted on the document root

salsa: needs apache2::rewrite

give ProxyPassReverse a path

salsa: update apache config

Tune proxypass, shortcut static files, add a few headers,
and set up error documents,

remove mpt-status everywhere

No debian.org host actually has a working mpt-status.  On wieck on
stretch it also keeps sendung us mail.  Get rid of it everywhere.

In a next step, we should also retire the facter.

deploy a basic apache config for salsa

enable-linger git

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Add python-hkdf for salsa

Add amdahl.debian.org (arm64 porterbox)

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

switch buxtehude to more puppetized pg backups

buildds: add an rsync-security entry to dupload.conf

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

fix filename

Add ~/.credentials-manual.yaml to salsa

ruby-dev for salsa

give gitlab a random key for encrypting its DB

grub: don't hardcode the list of hosts with nopat

remove duplicate acker entry

grub: nopat on villa, once more with feeling

grub: nopat on villa

villa on stretch, no more experimental_apache

Make insecure_ssl a role

ssl/ca-global: add certs recently removed from nss to blacklist

ssl/ca-global: add ANSSI and CNNIC to the blacklist

Fix some paths in the SSL config comments

Also apply the ca-global blacklist on godard

Disable the usual SSL setup for godard

ssl/ca-global: blacklist SPI/StartCom/WoSign CAs

Start moving vittoria over to puppetized pg backup

firewall: Start moving vittoria over to puppetized pg backup

remove temporary dc17 access to vittoria

Start moving vittoria over to puppetized pg backup

Maintain /etc/nagios/dsa-check-backuppg.conf with puppet

use ttyS1 on storace also in grub

use ttyS1 on storace

rsync-ssh-wrap: also allow uploads to SecurityUploadQueue

Signed-off-by: Julien Cristau <jcristau@debian.org>

vsftp::site wants a root parameter, even when disabling it

remove ftp_upload role from suchon

put an ssl cert on salsa

add symlink

Merge branch 'security-upload-host' of https://github.com/aburch/dsa-puppet

security upload host: /etc/ssh/userkeys/dak should exist

security upload ftp server: disallow directory listings and download

security upload host: enable ftp

Install ansible so the team can deploy their service

Add git user to group redis

fix service home path

make make_base_backups +x

Avoid undefined use of $grub_do_ifnames

switch salsa db to postgres::backup_cluster

manual entries for melartin for fw, authkeys, and make-base-backup should no longer be necessary

Start with puppetizing postgres cluster backup configuration.  for now, only deal with melartin

remove use of "ensure => $servicefiles" with a servicefiles variable we have never defined in this context

There is no bugsmaster role anymore.  Remove remaining users

next step in getting salsa pg backed up

actually add pg's sshkeys-manual

ship pg backup sshkeys in puppet

salsa: allow postgresql connections from backuphosts through firewall

pg: put postgres ssh keys onto backup server

move roles::postgresql_server to postgres::backup_source

add a comment explaining postgresql_server

Create .nobackup flag in non-hardcoded datadir

salsa: Make sure we use pg 9.6, and listen on *

Add salsa-admin@d.o

create salsa database with puppet

new concat no longer works with source => <file> on jessie hosts.  Switch to content => template in the one use of that

Update concat

Update stdlib

newer pg module

salsa: more mail setup

salsa: set mail username and password

salsa: plan to deploy database with puppet, write out credentials to a .yaml file

salsa: no yarn handling

Add actual postgresl module from puppetlabs

Add postgresl module from puppetlabs

Start with salsa.debian.org role/module

Add godard to salsa.debian.org role

replace modules/nagios/files/dsa-nagios with a symlink to a new install location

Replace modules/exim/files/certs and modules/ssl/files/clientcerts with symlinks to the auto-ca

Do not put incoming.debian.org into klecker

install irqbalance on multi-cpu systems

put a basic postfix config in place

put a basic postfix config in place

add heavy_postfix setting in local.yaml, and set smarthosts for not-heavy-postfix postfix hosts

Have postfix include debian_org::mail_incoming_port also

Move incoming mail port handling from exim to the debian_org module

confine allow-all smtp in postfix to role lists

Make the static-mirror-run log per component

Add /srv/security.upload.d.o on suchon

route salsa.debian.org to godard.debian.org

maintain /srv/keyring.debian.org tree in puppet

Add factor to determine whether a host has a keyring.debian.org mirror

run every 2 hours instead of hourly

Split header of puppet-nagios-wraps into own fragment, set orders

Migrate /etc/cron.d/puppet-nagios-hpsa to the puppet-nagios-wraps concat

Switch /etc/cron.d/puppet-nagios-wraps to concat

Put the puppet motd into /etc/motd on stretch hosts

run every 2 hours instead of hourly