Drop alioth zone from named config

Fix /etc/repro/radius-servers more

Fix /etc/repro/radius-servers

Configuration item "hashsize" is deprecated

Configuration item "allowmultiplekeys" is deprecated

Configuration item "ignorenislike" is deprecated

And fixup another path

Fix path to template

Disable default freeradius sites I don't think we want

Attempt to pull in some of the freeradius config from rtc.d.o

Also put bacula messages into syslog

Disable scheduling for backup jobs in preparation of deploying our own scheduler

Only add host to bacula dsa client list if we do backups for it

Update (c) year

Be more defensive when removing potentially obsolete pools

collect backup client list in a plain text file

bacula: remove obsolete pools

Redirect all of *.pages to https (re: RT#7072)

mirror-health: set User-Agent http header

Revert "Make security -> security-cdn redirect global, not just for the linux package"

I need to update the mirror health check to account for this.

This reverts commit d8b6b760a99f36fc6bf6088b8e998c1d67d46ab6.

Make security -> security-cdn redirect global, not just for the linux package

Drop security-cdn.d.o on stretch

Now that security.d.o as a SRV record basically pointing to
security-cdn.d.o, there is no point to have both in the sources.list
for stretch hosts.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

storace also makes ACPI noises about power_meter

we do not need to backup clamav-unofficial-sigs files

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

push empty /var/lib/varnish/.nobackup

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

mirror-conova also does lots of ACPI power-meter dmesg noise

Decommission mirror-bytemark

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fix check url for security mirror health

It's still not ideal because an oldstable-only update won't be picked
up, but at least it exists.

Run dsa-check-openmanage on schumann and wieck

mirror-bytemark no longer a fastly backend for /debian/

make schumann a fastly backend for security

Remove /srv/ftp.root from security mirrors

They do not serve FTP anymore so the archive can be located directly
in /srv/mirrors/debian-security like for other archive.

Do not create the /srv/mirrors/debian-security, as it might still be a
symlink, and ftpsync will create it. This actually matches what is done
for the other archive.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Serve security mirrors from /srv/mirrors/debian-security

In preparation for the /srv/ftp.root removal

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Import facts from schumann

Drop m68k@buildd.debian.org -> m68k-build@nocrew.org rewrite

I have no idea why this is done, but we don't want that.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Add schumann to the security_mirror role

Merge remote-tracking branch 'zobel-salsa/zobel-salsa'

Merge branch 'zobel-salsa'

Remove lobos from fastly security backends for now

We want to see how it does with 2 dedicated backends (villa and wieck).

dupload.conf: fix a thinko in the security upload hostname

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

buildd: do security uploads using SSH

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

rsync-ssh-wrap: force the permissions of uploaded files

dupload calls rsync with -p, causing the uploaded files to be world
readable, despite the ACL of the upload directory (see bug#876900).
This is an issue for security uploads.

This has been fixed in sid, but not yet in stretch. In the meantime
force the permissions to 0640 at the wrapper level.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

planet-d.o: fix a thinko in my previous commit

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

planet-d.o: only allow access from localhost and local IP

This way it's possible to access planet-master.d.o using SSH as a socks
proxy. It requires to connect to planet-master.d.o aka philp.d.o instead
of any debian machine.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

99builddsourceslist: access the security archive using https

Let's try again!

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lintian.d.o: fix deflate output filter

It appears that AddOutputFilterByType options also apply to the
subdirectories. However this directive overwrites the default value or
the one defined in the parent directory.

Therefore we only want to add this directive to the root directory and
with all the mime types.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Merge remote-tracking branch 'waldi-salsa/godard-apache' into HEAD

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock more certificates

RT#7092: Apache on godard adds an additional X-Xss-Protection

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Import facts from godard

octocatalog: add dummy file for LE service certs

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Mock ldapinfo during octocatalog runs

Merge branch 'lintian.d.o-tweaks' of https://salsa.debian.org/nthykier/dsa-puppet

static_mirror: enable deflate and filter modules

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Install ca-certificates in the buildd chroots

This is need in addition of apt-transport-https.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

lintian.d.o: Move svg compression to the resources directory

It does not appear to propogate on its own, so move it from the root
to the "resources" directory section.  There are no SVG images outside
that directory anyway.

Signed-off-by: Niels Thykier <niels@thykier.net>

lintian.d.o: Remove redundant + incorrect IfModule mod_userdir

Signed-off-by: Niels Thykier <niels@thykier.net>

Revert "99builddsourceslist: access the security archive using https"

This reverts commit f77a22de23c38230527be61375482971dea55fef.

This doesn't work, we also need ca-certificate in the chroot :-(

99builddsourceslist: access the security archive using https

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Fully retire spontini.d.o

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Also drop security anycast-test mirrors

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

snapshot storage nodes want the toolchain to build the snapshot fsck utility

setup-dchroot: fix a typo

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Install apt-transport-https in the buildd chroots

This will be used to access the security archive in a more private way.

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

Drop anycast-test mirrors from apt

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

More kfreebsd removal

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

setup-all-dchroots: get rid of kfreebsd and ppc64

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>

nagios: use dsa-check-systemd-services instead of systemctl is-system-running

Also systemctl reset-failed failed session-nnn.scope

Move failed rsync cleanup into systemd module

octocatalog: add dummy file for LE service certs

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Merge remote-tracking branch 'origin/master' into zobel-salsa

Fixup local-mirror.cdbuilder sites-enabled symlink name

Add {deb,security}.d.o aliases to local-mirror.cdbuilder

use ttyS1 for the serial console on casulana

Get trailing slashes right for aliases

First go at cdbuilder local mirror export (re: RT##7101)

Add a apache_not_public role where we do not add ferm allow rules and put casulana into it

no more experimental_apache (previously cgi-grnet-01, pejacevic, petrova)

Add cdbuilder-logs static component (re: RT##7101)

Add casulana as a static source for cdbuilder-logs (re: RT##7101)

Merge branch 'master' into zobel-salsa

RT#7092: Apache on godard adds an additional X-Xss-Protection

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Test with Puppet 4.8

Update facts

Move nagios stuff

Move generated cert files to new location

Update octocatalog job

Test with Puppet 4.8

Update facts

Move nagios stuff

Move generated cert files to new location

Update octocatalog job

rsync on lw09,lw10

update lw autotab

update lw autotab

do nfs server setup on lw09/lw10

no more 10/8 network at leaseweb

remove sgran from root keys

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

remove sgran IP range. he can hop via master if needed

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>