Load named::geodns from roles/manifests/init.pp based on hiera instead of from site manifest based on hostname

setup-all-dchroots: add bullseye

Permanent redirects mean we can never, ever change them again as they might be cached.  Stop doing those.

Redirect / of openpgpkey to keyring.d.o

add robots.txt to sources.d.o

Signed-off-by: Julien Cristau <jcristau@debian.org>

Force HiddenServiceVersion 2 as that is the only thing onionbalance understands, II

Force HiddenServiceVersion 2 as that is the only thing onionbalance understands

Link https://dev.gnupg.org/T4603 with workaround

work around GnuPG being silly with redirects

redirect https://debian.org/.well-known/openpgpkey/ to openpgpkey.debian.org (re: RT#7828)

Make redirects from the various debian.* and debian.{!org} pages less permanent

Fix openpgpkey dir

And make content appear under /.well-known/openpgpkey/ openpgpkey (re: #RT7828)

disable indexing on openpgpkey (re: #RT7828)

static component for openpgpkey (re: #RT7828)

kaufmann as saticsource (re: #RT7828)

lvm-osuosl-ganeti2.conf: only look for /dev/sda to workaround multipath issues

multipath doesn't work properly on pieta. Workaround the issue by only
looking at /dev/sda.

010-security.debian.org.conf: explicitly bind to localhost

On hosts having services on different IP addresses, *:80 is not enough
to run the security vhost on localhost, as other services might also
explicitly bind to localhost. This breaks mirror-health check.

For example on schmelzer.d.o:

010-archive.debian.org.conf
  <VirtualHost 217.196.149.234:80 [2a02:16a8:dc41:100::234]:80>

010-debug.mirrors.debian.org.conf
  <VirtualHost 217.196.149.232:80 [2a02:16a8:dc41:100::232]:80 127.0.0.1:80 [::1]:80 >

010-ftp.debian.org.conf
  <VirtualHost 217.196.149.232:80 [2a02:16a8:dc41:100::232]:80 127.0.0.1:80 [::1]:80 >

010-security.debian.org.conf
  <VirtualHost *:80>

Without this fix, it means that a request to security.backend.mirrors.d.o
on localhost ends up in the debug.mirrors.d.o vhost, and is thus
answered as 404.

More cleanup following the apt.buildd.debian.org removal

Drop apt.buildd.debian.org

We do not use it since none of our buildds are running jessie

All our buildds are running at least stretch, drop jessie specific code

Decommission binet

Add x86-ubc-02.d.o

decomission x86-bm-01

Add x86-grnet-02.debian.org

Regen manda-node04 NTP key

It needs to be generated with -T

Move timeserver from clementi to manda-node04 (missing part)

Move timeserver from clementi to manda-node04

The ganeti3 cluster (czerny/clementi) has been decomissioned

Move timeserver from czerny to manda-node03

Upgrade qemu-system-aarch64-wrapper for ganeti 2.16

Update lvm-ubc-ganeti3.conf following upgrade to buster

Revert "Ignore qemu-efi-arm on ubc-node-arm0X"

This reverts commit 19be01c1fc6e2c4db1a41df686cd60889c10f179.

Add Add godard-lvm-ssd volume to ganeti2

Remove godard-lvm volume from ganeti2

Add godard-lvm-hdd volume

qemu-system-aarch64-wrapper: only enable gic version 3 with more than 8 vcpus

as gic version 3 is not supported on conova-node01/02

qemu-system-aarch64-wrapper: fix -M ? option following recent changes

qemu-system-aarch64-wrapper: do not force the gvic to version 3 for 32-bit vCPUs

qemu-system-aarch64-wrapper: set the gic version to 3

This enables up to 512 vcpus instead of 8

Add arm-ubc-05 and arm-ubc-06

Ignore qemu-efi-arm on ubc-node-arm0X

The package is not available in stretch, so it has been installed by
hand from buster.

This commit should be reverted once ubc-node-arm0X have been upgraded to
buster.

Add arm-ubc-04.debian.org

Use ttyAMA0 on arm-ubc-0X

allow ssh access to ubc-node-arm* from ubc-bulwark (internal)

Add arm-ubc-02.debian.org and arm-ubc-03.debian.org to buildds

Those are now VMs

Revert "remove arm-ubc-01 reference"

This reverts commit 1ef022b649ef0ae744e18df2b2794c200cbd4f4c.

remove arm-ubc-01 reference

Add arm-ubc-01.debian.org (buildd)

Firewall for ganeti3.ubc.debian.org

LVM config for ganeti3.ubc.debian.org

arm-ubc-0X have been renamed and won't be buildd anymore

We'll setup a ganeti cluster on them.

add arm-ubc to misc/local

Rewrite URL to Debian memberships

Store the list of installed packages into a puppet fact

snapshotdb-manda-01: allow pg access from lw

put pg basic backup stuff onto lw07 and snapshotdb-manda-01

Let snapshotdb-manda-01 read sallinen pg backups

Allow snapshotdb-manda-01 to access pg on sallinen

update debian.org trust anchor

let nagios run dsa-check-ucode-intel

more amazon networks to blacklist

more amazon networks to blacklist

more amazon networks and a few hosts to blacklist

more amazon networks to blacklist

more amazon networks to blacklist

more amazon networks to blacklist

blacklist 95.115.66.23

blacklist 63.32.0.0/14

Order sometimes matters because ifupdown is ... ifupdown

release.d.o: don't serve *.wml as text/vnd.wap.wml

Add cloudaccounts@d.o to spam filters

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

Comment out code again

A bit of debug information

Enable banner setting

A bit of formatting

Second attempt at split sshd settings

Remove exploratory code for now

Kinda-noop-change to fix up bits

Fix up commenting again

Ruby syntax fixups

More commenting out

Comment out code to not break stuff

More data structure wrangling

Add address masks

Initial work on splitting sshd settings between source = debian.org and not

Remove old cleanup rule

/etc/exim4/Git is unlikely to reappear and has been removed for almost six years, time to drop this

Revert "Temporarily expose /srv/mirrors/debian on archive through rsync"

No longer needed.

This reverts commit 77541134868bf310b24f78afe538b0bd526442f5.

Temporarily expose /srv/mirrors/debian on archive through rsync

modify 3rdparty/modules/certregen/manifests/client to set the user and group that puppet enforces anyhow

bacula: 'E' also indicates a failed job

ipsec: replace auto=start/closeaction=restart with just auto=route to avoid restart loops

new bacula 9 no longer does pg service=...

bacula: merge parts of the bacula 9 config

Add redirection for debian.org/misc/bsd.license RT#7733

Add redirection for bsd.license document, removed from
www.debian.org repository (Bug #924888).

Signed-off-by: Héctor Orón Martínez <zumbi@debian.org>

Enable backports on buster

we do headers by default

add apache::headers

snapshot: follow redirects to /file/<hash> in varnish

Snapshot: do requests for /file/<hash> directly from the filesystem