Add the certregen::client class to all nodes

Add puppetlabs/certregen module

Add trabaci

Add trabaci volumes

Move more hiera stuff from mirror-conova to schmelzer

Fix typo that caused missing debug mirror on schmelzer

Also add the right parameters.

schmelzer has /srv/mirrors/public-debian, use it

Helps keep things in sync with other mirrors that are its downstreams.

ganeti: add ganeti2-osuosl ip range

No dedicated private network for now, just trying things out.

Fix rsync setup on schmelzer

Decommission lully.d.o

Replaced by loghost-osuosl-01

blacklist 211.13.205.0/24

blacklist 84.204.194.0/24

syslog: fix longstanding hostname typo

Looks like this has been around since d6761ce0180c2b4ac9f90e744fa34416ee68ae48
in 2013.

blacklist 159.226.95.0/24

Add cron script to compress and clean up logs on syslog hosts

remove duplicate /etc/ssh/userkeys/dak, add srv/ftp.../home

Add lw08 to the snapshot_shell role and give ftp-master some infra there

Stop making nsswitch executable

lvm setup for pieta

move incoming smtp to port 2025 on smit.d.o

Add smit

Add debconf.org cert

Take over debconf.org with a redirect to www

Add schmelzer to a couple more things

Fix mirror-health-security by skipping the security to security-cdn redirect

add some roles to schmelzer

mirror-umn console is on COM2

Add conova ip range

Add schmelzer

Decommission kantuser (RT#7583)

add default lvm conf for pijper

cvs.d.o is gone, drop redirect

add mekeel-srv (RT#7226)

syslog-ng: define fastly destination on all log hosts, not just lully

Revert "99builddsourceslist: disable apt redirects in chroots"

This reverts commit 840177adeb15e1a9f23cff136708eb60a10cd3a7.

All the chroots now have an updated apt.

Fix KVM detection for rng-tools

Do not setup grub/kernel serial console on ppc64el VMs

On ppc64el VMs, grub and the kernel automatically switch to the serial
console if there is no video card. OTOH the serial console is not called
ttyS0, so it's better to not try to setup it up manually.

ganeti2: remove qemu-system-ppc64 wrapper

The wrapper ended-up simpler than on arm64, therefore kvm_extra can be
used instead.

add loghost-osuosl-01

ganeti2: add wrapper for qemu-system-ppc64

empty slapd-ftmg.conf

slapd: listen on localhost only

Add default /etc/default/slapd

typo fix

ssl slapd: load hbd backend module, disable db and backend specific config

default slapd.conf

sso: install slapd (re: RT#7454)

ship ftmg.sso.debian.org key to sso host

Actually install apt https config

Tell apt to use cartel CAs for https mirrors

Try to support debootstrapping from https sources on debian.org infra

use local mirrors less

switch default mirror to https://deb.debian.org/debian

install ca-certificates in all chroots

install security (LTS) updates for jessie

use https://deb.debian.org/debian as default mirror

setup-dchroot: do install of security and updates for ubuntu chroots earlier

terminate case properly

Install apt-transport-https during debootstrap

99builddsourceslist: disable apt redirects in chroots

Remove moszumanska-lvm and moszumanska from multipath config

Avoid restarting ud-replicated too quickly, to avoid being rate-limited by systemd

Enable SSILegacyExprParser on www.debconf.org

The site would need updates for the new syntax

www.debconf.org vhost update

Add missing redirects from current config on kent.debconf.org

Add www.debconf.org vhost for real

Add www.debconf.org vhost on static

Add www.debconf.org static component

Bump RLimitNPROC for bugs web hosts

Bug#919316

Set LogLevel VERBOSE in sshd

Add wiki.debconf.org static vhost (RT#7595)

debconfstatic can update wiki.debconf.org

Update DMUP url in motd

Add wiki.debconf.org static component

Fix sudoers syntax

sudo: add an extra entry for dsa-check-openmanage

Add ability to ignore "Cache Battery 0 in controller 0 is Degraded
(Non-Critical) [probably harmless]" warning.

postgres-make-base-backups.erb: fix limited info log

RT#7513 Get rid of most traces of moszumanska

Add an adm key for tfheen

Open up some IPs for tfheen

remove duplicate entry for sallinen in postgresql_server

Remove disfunct combined.njabl.org RBL from rbllist for all the roles that had it

do not rate limit on the loopback interface

also close http connections after each request via haproxy

for snapshot, disable keep-alive so we can rate-limit better

blacklist 198.11.128.0/18

Actually drop drom 208.91.68.213

blacklist 208.91.68.213

one ; too many

port 6081 is redirected

snapshot: try to put a bound on connections per client

snapshot: set QS_LocRequestLimitDefault if mod_qos is loaded

reload ferm on changes instead of restart

Make a snapshot.debian.net vhost, 2

Make a snapshot.debian.net vhost

Drop references to long-gone db.d.o repos

Use https for *-restricted db.d.o repo too

Use https to access the db.d.o repo

Fixup db.d.o archive key for apt consumption, it shouldn't be armored

Extend lifetime of db.d.o archive key by a year

Delete old logs on hosts using pybuildd

pybuildd keeps them indefinitely
(https://salsa.debian.org/wb-team/pybuildd/issues/11) so clean up ourselves to
avoid running into ENOSPC.