replaces shared-lsb by puppetlabs/stdlib

adjust readme

fix broken tests

These tests were broken before, because they didn't mock the right
method.

removed files directory

testing infastructure, rspec tests

Merge pull request #5 from deric/master

removed global variables from readme

default values formatting

formatting

removed global variables from documentation, converted to markdown

no need to have these quotes

fix deprecation warning 'Puppet::Util.execute is deprecated; please use Puppet::Util::Execution.execute'

unify centos sshd config and update it to latest upstream

get ecdsa host keys in Debian Wheezy

Back to hmac-sha1 as hmac-sha2-512 prevented squeeze systems to connect

Rollback: hmac-sha2-512 is just supported on newer systems

OpenSSH HMAC: SHA1 -> SHA2-512 (suggested by duraconf)

rather match the correct service than the parent pid

the last approach only matched if someone was logged in
with ssh. :/

Nagios disabled by default

on newer puppet version the openbsd service provider changed slightly making this necessary

Merge remote-tracking branch 'githubmirror/master'

Merge pull request #2 from mmoll/style

style fixes

style fixes

silence puppet-lint

Avoiding UTF-8 string due to puppet issue #11860

Merge branch 'master' of git://labs.riseup.net/shared-sshd

Conflicts:
templates/sshd_config/Ubuntu_precise.erb

README upgrade notice

Merge commit '42fce2a4576dd97a270d4d875531b39920655edb'

Merge remote-tracking branch 'shared/master'

added Ubuntu precise support

fix variable name

correct variable naming

migrate away from hiera stuff

recmkdir is gone

new style for 2.7

new style for 2.7

Adding precise template

Adding sshd_config for oneiric

remove legacy facts

Merge remote-tracking branch 'shared/master'

Adding PrintMotd parameter to all templates and setting per-distro default value

Document the $sshd_shared_ip variable in the README

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Document the $sshd_print_motd variable in the README

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Provide a default value for $sshd_shared_ip in sshd::client

Since it's possible to "include sshd::client" without using "include
sshd" (e.g. installing/managing ssh client but not the server) provide a
default value for $sshd_shared_ip also in the sshd::client class.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Clean out $ssh_use_strong_ciphers

A tentative option from rhatto using the variable named
$ssh_use_strong_ciphers still has two lines in init.pp

Since the same functionality is provided by the variable
$ssh_hardened_ssl that was merged in the shared repository, rhatto
removed his feature. But there are still two lines left, so simply
remove them.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Enable $ssh_hardened_ssl for FreeBSD

It is the only sshd_config template that didn't have this option, so
copy it from the other templates.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Updating FreeBSD template for new sshd_ports variable

Removing sshd_use_strong_ciphers parameter as sshd_hardened_ssl does the job

Merge branch 'master' of git://labs.riseup.net/shared-sshd

Merge remote-tracking branch 'lelutin/freebsd'

Merge branch 'feature/debian_wheezy'

Add sshd_config template for Debian Wheezy.

Currently, this is a symlink to the Debian sid's one, which I've recently
resync'd. Once Wheezy is frozen, we'll want to fork its own template.

New opt-in support to only use strong SSL ciphers and MACs.

The new configuration variable is $sshd_hardened_ssl.
Settings were stolen from https://github.com/ioerror/duraconf.git.

we should pass the architecture to devel packages

Changing strong cipher to aes128-crt

Adding sshd_use_strong_ciphers to all sshd_config templates

Changing parameter name sshd_perfect_forward_secrecy to sshd_use_strong_ciphers as sshd already does PFS

Merge remote-tracking branch 'lelutin/ubuntu'

FreeBSD: Use variables for the Kerberos options

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

remove HostbasedUsesNameFromPacketOnly yes from Debian sshd_config templates. This is not set in the Debian templates by default, and the default is actually no, not yes. If someone wishes to make a configuration variable they can, otherwise head/tail_additional options can be used

Resync Debian sid template with the Squeeze's one.

Currently, the only difference is LoginGraceTime, that defaults to 600 in sid.

Merge remote branch 'lelutin/debian_template'

Updating lucid template with new ssh port scheme

Merge branch 'master' of git://labs.riseup.net/shared-sshd

Conflicts:
templates/sshd_config/Debian_squeeze.erb

Update README to include the ssh_keygen function

Pull together a more comprehensive README, moving the configurable variables from init.pp into the README, and detailing the other features, and requirements, of the module

Merge remote branch 'shared/master'

Conflicts:
templates/sshd_config/Debian_squeeze.erb

I always picked the shared repository version when conflicts arose.
The only exception to this rule was:
I kept my branch's "HostbasedUsesNameFromPacketOnly yes" in order
to be consistent with existing Etch and Lenny templates.
This is not the default Debian setting, but I would find it weird if a host
had this setting changed by Puppet after upgrading to Squeeze.
The right way to proceed would probably be to make this configurable.

Merge remote branch 'immerda/master'

Perfect forward secrecy config at squeeze template

Merge branch 'master' of git://labs.riseup.net/shared-sshd

Enable support for Ubuntu

The sshd class currently has a mechanism to make resources for Ubuntu
similar to the ones for Debian, but the sshd::client class doesn't.

Also, There are no templates for sshd_config on Ubuntu so provide for
them. Since Ubuntu releases almost all use ssh versions that are as
recent as the Debian squeeze one, and the default sshd_config file is
usually the same as on Debian, add a default (Ubuntu.erb) template so
that it fits all Ubuntu releases.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Add sshd_config template for Debian sid

Debian's unstable branch currently has no template for sshd_config, and
thus cannot use the sshd class.

Add a template for Debian sid.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Finish fixing ChallengeResponseAuthentication

This value was hardcoded in both the Debian lenny and etch templates.
The lenny template was fixed with commit 167cf532711ac88 but the etch
template was left out.

Fix the etch template so that the ChallengeResponseAuthentication
instruction is not overridden.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

ssh_authorized_key: use $name for user by default

Currently ssh_authorized_key has some logic about $user being false or
'', but it sets its value to default to 'root'.
So, in order to use the name as the user's name, one has to clear the
user parameter, which is totally redundant.

Since it is sometimes useful to publish multiple keys for a user, the
$user parameter is useful.

To make using ssh_authorized_key for one-key normal users simpler, make
$user default to being empty (which will use $name as the user name).
'root' can always be specified either via the name or by the $user
paramter.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Fix ssh_authorized_key

When one uses the $name to define the user that should receive an SSH
key, setting $user to a negative value, ssh_authorized_key currently
creates the authorized_keys file under /home/.ssh/authorized_keys

Fix this by changing ${user} to ${real_user} in the key's path.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Add an sshd_config template for FreeBSD

Since there is no "catch-all" default configuration file for sshd, we
need to add for each OS.

Add a template for FreeBSD so that sshd can be configured on this OS.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

Fix inclusion for default os

When the os of a client is not one of those that use a specialized
class, (e.g. FreeBSD) the inclusion is currently broken: it tries to
include sshd::default which does not exist.

Change this to include sshd::base instead.

Signed-off-by: Gabriel Filion <lelutin@gmail.com>

fix debian squeeze sshd_config template to add a missing newline

Introducing perfect forward secrecy for SSH

do some trickery as arguments from puppet are passed as an array

made error mesage a bit more verbose

remove stupid swap

Add a function to create ssh keys on the fly

This allows you to use content of ssh keys within your manifests
and generate them automatically if they don't exist yet.

remote KerberosGetAFSToken, its actually not a functional configuration option, even though it is listed in the man page, and commented out in the default config file. I filed a bug with debian (#607238)

"ChallengeResponseAuthentication no" was being hardcoded later in the Debian Lenny sshd_config template, even though we offer it as a variable. With this commit, the variable will actually work, rather than be overriden

add Debian Squeeze sshd template. Enabled kerberos and gssapi options, using the defaults when not specified

Mention dependency on lsb module.

lenny already has AcceptEnv by default

use realport

use parametrized class to pass ssh_ports to open up things

introduce that port also can't be the name, fix ensure problem

extend sshd::nagios with ensure param

add nagios_check_ssh_hostname to tweak the hostname which whould be monitored, as this one might actually differ

move define to own class

Bugfix

Merge remote branch 'nadir/master'

Conflicts:
manifests/init.pp

Syntax fix.

bugfix

bugfix

New option sshd_ports that obsoletes sshd_port.

Backward compatibility is preserved.

Cleanup templates: sshd_port is guaranteed by init.pp not to be empty.

sshd service has status and restart commands in post-etch Debian releases.