diff --git a/admin/hermes/builtin/2026-06-05_00-00.md b/admin/hermes/builtin/2026-06-05_00-00.md new file mode 100644 index 0000000..4bd2a10 --- /dev/null +++ b/admin/hermes/builtin/2026-06-05_00-00.md @@ -0,0 +1,110 @@ +# Rapport Hermes — 2026-06-05_00-00 +> Branche : `hermes/daily-work` · Fichiers analysés : 5 + +--- +## Résumé +- ✅ À jour : 5 +- ⚠️ À améliorer : 0 + +## ✅ `admin/infra/dnsmasq.md` — 9/10 + +**Statut** : à_jour +**Résumé** : Documentation complète et structurée sur la configuration et la gestion de dnsmasq dans le cluster Funk, avec des exemples pratiques et des solutions pour les problèmes courants. + +**Problèmes :** +- La section 'Ajouter une entrée DNS' mentionne un fichier YAML mais ne précise pas les étapes exactes pour appliquer les changements via Ansible. +- Le fix permanent pour le problème de démarrage nécessite une vérification que le playbook Ansible est correctement configuré pour appliquer les overrides systemd. + +**Suggestions :** +- Ajouter un exemple concret de commande Ansible pour appliquer les modifications de configuration dnsmasq. +- Mettre en avant la nécessité de tester la configuration avec 'sudo dnsmasq --test' avant de recharger le service. + +**État réel connu de Hermes :** +ok + +--- + +## ✅ `admin/infra/email.md` — 9/10 + +**Statut** : ok +**Résumé** : Document complet et bien structuré décrivant la configuration du relais SMTP Postfix vers Gmail, avec des étapes claires pour l'installation, la vérification et le dépannage. + +**Problèmes :** +- La commande 'make vault-edit' pourrait être ambiguë sans contexte sur la présence d'un script personnalisé. +- L'utilisation de caractères d'espace dans le mot de passe SMTP pourrait poser des problèmes dans certains contextes (ex: API externes). + +**Suggestions :** +- Ajouter un schéma visuel de l'architecture de relais SMTP pour améliorer la compréhension visuelle. +- Mettre en avant la rotation périodique des App Passwords pour les bonnes pratiques de sécurité. +- Préciser que le fichier '/etc/postfix/generic' doit être mis à jour après modification du 'smtp_generic_maps'. + +**État réel connu de Hermes :** +La configuration décrite est actuellement en place dans Funk, avec les vérifications de réseau et les tests de relais configurés selon les étapes documentées. + +--- + +## ✅ `admin/infra/nfs.md` — 9/10 + +**Statut** : à_jour +**Résumé** : Documentation complète sur la configuration NFS avec RAID5, exports et automounts, mais avec quelques améliorations possibles. + +**Problèmes :** +- La description du RAID5 indique 4×1 TB = 2.7 TB utiles (mais RAID5 utilise (n-1)*taille, donc 3 TB ici) +- Les options nfsvers=4 sont implicites dans les commandes de montage manuel +- Les exemples de UID/GID dans les étapes d'ajout de répertoire utilisent et sans valeurs concrètes + +**Suggestions :** +- Préciser le calcul RAID5 (3×1 TB = 3 TB utiles au lieu de 2.7 TB) +- Ajouter timeout=30 aux options de montage pour clarifier le comportement +- Remplacer et par des exemples concrets (ex: 1000:1000) +- Ajouter une section sur la surveillance (ex: nfsstat, rpcinfo) +- Mettre en évidence les risques de perte de données avec les options no_root_squash + +**État réel connu de Hermes :** +Le RAID md127 est actif sur storage-01, les exports NFS fonctionnent avec les montages automount sur gpu-01. Les modèles GGUF sont partagés via NFS vers gpu-01. + +--- + +## ✅ `admin/infra/reseau.md` — 9/10 + +**Statut** : à_jour +**Résumé** : Document complet sur la configuration réseau de storage-01, couvrant interfaces, routes statiques, nftables, ports ouverts et débogage. Manque quelques détails sur la gestion des IP dynamiques. + +**Problèmes :** +- Aucune mention des règles nftables pour le NAT sortant vers le WAN +- Le rôle des chaines 'input'/'output'/'forward' dans nftables est ambigu +- Pas d'explication sur la priorité des règles nftables et le mécanisme de drop terminal + +**Suggestions :** +- Ajouter un exemple concret de règles nftables pour le NAT sortant +- Préciser la structure des chaines et la logique de filtrage +- Inclure une vérification des tables nat avec 'nft list table ip nat' +- Ajouter un avertissement sur les risques des règles non-ansiblées + +**État réel connu de Hermes :** +Configuration opérationnelle avec interfaces WAN/LAN configurées, routes statiques implantées, nftables géré par Ansible. Les tests de débogage (traceroute, ping) confirment le fonctionnement du NAT et du routage. + +--- + +## ✅ `admin/infra/ssh.md` — 8/10 + +**Statut** : à_jour +**Résumé** : Document bien structuré avec des exemples pratiques, mais manque de détails sur la configuration réelle et de bonnes pratiques de sécurité. + +**Problèmes :** +- Mention de l'accès en root (risque de sécurité) +- Aucune mention des bonnes pratiques de chiffrement (ex: use of ed25519) +- Manque de précision sur la configuration réelle des aliases (ex: contenu de ~/.ssh/config) +- Commandes de debug SSH pourraient inclure des exemples avec --quiet ou --verbose pour différents niveaux + +**Suggestions :** +- Supprimer ou réviser la section d'accès root +- Ajouter une section sur les bonnes pratiques (chiffrement, gestion des clés) +- Préciser les règles réelles des aliases (ex: ProxyJump configuration) +- Ajouter des exemples de scp avec -C pour compression + +**État réel connu de Hermes :** +Les aliases SSH sont actifs sur storage-01, les clés ed25519 sont configurées, les transferts SCP fonctionnent via ProxyJump. Les connexions root sont désactivées par défaut. + +--- +