diff --git a/admin/hermes/builtin/2026-06-05_09-00.md b/admin/hermes/builtin/2026-06-05_09-00.md new file mode 100644 index 0000000..dd8fc2d --- /dev/null +++ b/admin/hermes/builtin/2026-06-05_09-00.md @@ -0,0 +1,111 @@ +# Rapport Hermes — 2026-06-05_09-00 +> Branche : `hermes/daily-work` · Fichiers analysés : 5 + +--- +## Résumé +- ✅ À jour : 5 +- ⚠️ À améliorer : 0 + +## ✅ `admin/infra/dnsmasq.md` — 9/10 + +**Statut** : ok +**Résumé** : Documentation complète sur la configuration et la gestion de dnsmasq avec des exemples pratiques, bien que quelques détails puissent être précisons. + +**Problèmes :** +- Le paragraphe sur le problème connu manque de précision sur le playbook Ansible exact à modifier +- Les exemples de tests DNS pourraient inclure des cas d'erreur ou des timeouts +- Le template MetalLB n'est pas encore implémenté dans la documentation + +**Suggestions :** +- Ajouter le nom exact du playbook Ansible à modifier pour le problème USB +- Inclure des exemples de tests avec des noms non résolus ou des timeouts +- Mettre à jour le template MetalLB avec un exemple concret de configuration + +**État réel connu de Hermes :** +Fonctionnel avec le problème persistant d'interface USB, nécessitant le fix permanent mentionné + +--- + +## ✅ `admin/infra/email.md` — 7/10 + +**Statut** : à_jour +**Résumé** : Documentation complète sur la configuration du relay SMTP Postfix vers Gmail, avec étapes d'installation, vérification et dépannage. + +**Problèmes :** +- La ligne 'Mail en spam | Expéditeur no' contient une typo ('no' au lieu de 'non' ou 'not') +- Manque de détails sur la sécurité (SPF/DKIM) malgré l'usage d'un App Password +- Les commandes 'make' supposent une infrastructure spécifique non décrite + +**Suggestions :** +- Ajouter une section sur la configuration SPF/DKIM pour les emails relays +- Préciser les prérequis système pour les commandes 'make' +- Corriger la typo dans le tableau de dépannage + +**État réel connu de Hermes :** +Le composant est fonctionnel dans Funk avec la configuration décrite, mais présente des améliorations possibles en sécurité et documentation + +--- + +## ✅ `admin/infra/nfs.md` — 8/10 + +**Statut** : à_jour +**Résumé** : Documentation complète sur la configuration NFS avec RAID5, exports et automounts, mais manque de vérification des états réels et de cas d'erreur. + +**Problèmes :** +- Aucun check des états réels des services NFS (statut, métriques, latence) +- Les exports ne couvrent que 2 répertoires sur 5 dans l'arborescence RAID +- Le comportement automount avec timeout pourrait causer des delays critiques +- Pas de section sur la résilience en cas de perte de connexion NFS + +**Suggestions :** +- Ajouter un paragraphe sur la supervision des montages NFS via Prometheus +- Mettre à jour la liste des exports pour inclure tous les répertoires utilisés +- Ajouter des exemples de commandes pour vérifier la cohérence des permissions +- Proposer un plan d'urgence pour les pannes NFS critiques + +**État réel connu de Hermes :** +Les exports fonctionnent selon les logs, mais les automounts sur gpu-01 montrent des instabilités connues nécessitant des paramètres de timeout plus agressifs + +--- + +## ✅ `admin/infra/reseau.md` — 9/10 + +**Statut** : à_jour +**Résumé** : Documentation complète des configurations réseau du cluster Funk, incluant interfaces, routes statiques, nftables, ports ouverts et vérifications. + +**Problèmes :** +- Manque d'exemples concrets de règles nftables +- Aucune mention des politiques de sécurité avancées (firewalld vs nftables) +- La section DNS pourrait expliciter les règles de priorité des résolveurs + +**Suggestions :** +- Ajouter un exemple de règle nftables pour illustrer la configuration +- Mettre en évidence les différences entre les politiques de sécurité +- Préciser la hiérarchie des résolveurs DNS dans /etc/resolv.conf + +**État réel connu de Hermes :** +Le réseau fonctionne selon les procédures documentées, avec des configurations NAT et nftables actives. Les vérifications automatiques via sysctl et les logs journalctl sont en place. + +--- + +## ✅ `admin/infra/ssh.md` — 8/10 + +**Statut** : à_jour +**Résumé** : Le document décrit correctement les configurations SSH basiques pour le homelab Funk, avec des alias, transferts de fichiers et débogage. + +**Problèmes :** +- Manque de mention des bonnes pratiques de sécurité (rotation de clés, chiffrement des clés, permissions strictes) +- Aucun avertissement sur l'utilisation des mots de passe pour root (déprecated) +- Les exemples de scp ne mentionnent pas les options de compression/segmentation pour les gros fichiers + +**Suggestions :** +- Ajouter une section sur la gestion des clés (rotation, backup, suppression) +- Mettre en avant les configurations SSH modernes (ControlMaster, Multiplexing) +- Ajouter des exemples avec rsync pour les transferts massifs +- Préciser les politiques de chiffrement recommandées (AES-256, SHA256) + +**État réel connu de Hermes :** +Les configurations SSH sont opérationnelles dans Funk, mais les pratiques de sécurité devraient être renforcées (clés chiffrées, permissions 0600, audit régulier des clés autorisées). + +--- +