osqa: remove search, replaced with duckduckgo iframe

osqa: disable contact form

Merge remote-tracking branch 'github/pull/656'

build(deps): bump kitchen-dokken from 2.20.3 to 2.20.4

Bumps [kitchen-dokken](https://github.com/test-kitchen/kitchen-dokken) from 2.20.3 to 2.20.4.
- [Release notes](https://github.com/test-kitchen/kitchen-dokken/releases)
- [Changelog](https://github.com/test-kitchen/kitchen-dokken/blob/main/CHANGELOG.md)
- [Commits](https://github.com/test-kitchen/kitchen-dokken/compare/v2.20.3...v2.20.4)

---
updated-dependencies:
- dependency-name: kitchen-dokken
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Update configuration of nodesource repo

Update Node.js to the 20.x branch

Modernise mod_perl installation

otrs: ensure SetPermissions.pl and daemon restart happen in correct order

otrs: enable all required apache modules

otrs: Add additional packages as required by deb

Drop cleanup code

Merge remote-tracking branch 'github/pull/655'

otrs: upgrade to latest znuny 6.0.x release

znuny only supports upgrading one minor version at a time.
Future upgrades will be 6.0.x -> 6.1.x -> 6.2.x etc

Signed-off-by: Grant Slater <github@firefishy.com>

imagery: retry proxy errors

imagery: fix url typo

imagery: switch to file:// based mosaic for ZA

imagery: increase nginx keepalive again

imagery: switch to volume mount for imagery

podman: add volume support

imagery: use gz mosaic directly

imager: tune timeout and lower titiler workers

imagery: attempt to make tile serving more resilient to errors

Revert "nominatim: improve IP query block expression"

This reverts commit 6beb17e095d006393405d9882fb762837df78588.

nominatim: improve IP query block expression

nominatim: update taginfo description

Don't look for md arrays if the driver isn't loaded

remove ftp role from angor

remove draco

imagery: increase http2 max concurrent streams

imagery: fix regex to only match os_sv png formats

Revert "imagery: workaround OS imagery custom formats"

This reverts commit b0bf79fd8052f90360efd8e093c83cc03c38696a.

imagery: workaround OS imagery custom formats

Drop role for draco

imagery: escape layer name in js

imagery: enable nginx cache correctly

imager: fix string quote

imagery: add za_ngi_aerial using tiler

nominatim: remove referer block on details again

nominatim: refuse to geocode IP addresses

account: update ligfietser ssh key

Close: https://github.com/openstreetmap/operations/issues/1044

Signed-off-by: Grant Slater <github@firefishy.com>

imagery: improve tiler caching and keepalive

podman: revert to using default slirp4netns mtu

tests: move imagery-tiler to only test on debian

podman on ubuntu 22.04 unresolved race condition start up bugs.
The version in debian 12 is reliable. In production the container starts
up successfully after a few tries, but this behaviour breaks tests.

Signed-off-by: Grant Slater <github@firefishy.com>

dev: sort users list

dev: activate ligfietser

nominatim: disallow details requests without referer

Install libbrotli-dev on the dev server

Update bundle

Try and detaint messages.openstreetmap.org deliveries

Validate local parts for messages.openstreetmap.org to untaint them

networking: ensure nftables script checks input

Ensure the nftables script does not prematurely exit on any invalid input.
eg: If unblocking a set of IPs skip any not currently blocked instead of premature exit.

Signed-off-by: Grant Slater <github@firefishy.com>

apache: increase mod_evasive page_count to reduce iD false positives

Fix fail2ban evasive filter

networking: add flush command to nftables script

podman: fix typo in param

podman: increase default pid limit.

Workaround 2048 pid limit. Extremely low, causing issues with titiler.
Ideally should be set using a paramater.

Signed-off-by: Grant Slater <github@firefishy.com>

Add alert for node exporter text file scrape errors

imagery: use https for tiler

imagery: add ngi-aerial code

Revet accidental commit

community: security bump version

Disable exim paniclog watcher

Fix exim daemon options for Ubuntu

Drop attempt at SPF checking

Accept any mail that passes an osmfoundation.org SPF check

Reject incoming mail which fails SPF checks

Add munin web redirects to prometheus

Scrub last munin traces

Signed-off-by: Grant Slater <github@firefishy.com>

Remove munin-server GHA test

Remove munin server role

Remove munin

Fixed: https://github.com/openstreetmap/operations/issues/501
Signed-off-by: Grant Slater <github@firefishy.com>

hardware: do not fail if node[:hardware][:pci] is undefined (tests)

git: use extended combined_extended

Restore comment

apache: remove unneeded combined_extended hack for 20.04

Tidy up mod_evasive configuration

wordpress: use combined_extended logging

mediawiki: add back missing param

mediawiki: disable Extension:LocalisationUpdate

mediawiki: add RewriteCond for server-info

apache: set our correct defaults for mod_evasive

apache: relax mod_evasive further

apache: parameterise mod_evasive

nominatim: migrate versions before installing the software

Avoids disruptions where the migration is needed for the frontend
to function properly (e.g. when creating new indexes).

overpass: remove last traces of timer for area processor

Adjust trigger for evasive jail

Restrict fail2ban to evasive blocks instead of all 403 errors

Relax evasive limits some more

Make evasive configuration work

Pass bantime and findtime to jail config correctly

Reduce look back for forbidden request jail

Relax site count limit for evasive

Relax page count limit for evasive

Actively disable mod_evasive when necessary

Disable mod_evasive for prometheus

Use fail2ban to block IPs getting repeated HTTP forbidden responses

Enable mod_evasive for all apache instances except render servers

Drop unused attribute

Add an alert for mysql connection errors

Increase mysql connection limit for the wiki