# Rapport Hermes — 2026-06-05_03-00 > Branche : `hermes/daily-work` · Fichiers analysés : 5 --- ## Résumé - ✅ À jour : 5 - ⚠️ À améliorer : 0 ## ✅ `admin/infra/dnsmasq.md` — 8/10 **Statut** : ok **Résumé** : Documentation complète sur la configuration et la gestion de dnsmasq avec des commandes clés et des solutions pour les problèmes courants. **Problèmes :** - La section sur le fix Ansible manque les détails précis du playbook/task à modifier - La configuration MetalLB avec address=/.lab.local/192.168.10.200 est ambiguë (manque le contexte du template) **Suggestions :** - Ajouter le nom exact du playbook/task Ansible à modifier dans la section 'Fix permanent' - Clarifier le format exact du template MetalLB avec un exemple complet - Ajouter une note sur la priorité des interfaces réseau dans systemd (network-online.target) **État réel connu de Hermes :** Opérationnel avec le problème connu d'interface USB Ethernet nécessitant le fix systemd --- ## ✅ `admin/infra/email.md` — 9/10 **Statut** : ok **Résumé** : Documentation complète sur la configuration du relay SMTP Postfix vers Gmail avec instructions claires et vérifications. **Problèmes :** - Manque d'indications sur la rotation périodique du Google App Password - Les commandes 'make' supposent un système de construction spécifique non décrit **Suggestions :** - Ajouter une section sur la rotation sécurisée du App Password - Clarifier les dépendances des commandes 'make' ou proposer des alternatives génériques - Ajouter un avertissement sur la sécurité des credentials dans le vault **État réel connu de Hermes :** Le composant est fonctionnel selon la documentation, avec un relay SMTP configuré vers Gmail via Postfix sur storage-01 --- ## ✅ `admin/infra/nfs.md` — 7/10 **Statut** : à_jour **Résumé** : Documentation complète sur la configuration NFS avec des procédures claires, mais manque quelques bonnes pratiques et détails techniques **Problèmes :** - Aucune mention des options de sécurité comme 'squash' ou 'anonuid/anongid' dans les exports - Le comportement automount ne décrit pas les mécanismes de retry ou les timeouts avancés - Les commandes Ansible ne spécifient pas les variables d'environnement nécessaires pour les chemins dynamiques - Aucune mention des stratégies de sauvegarde ou de surveillance des shares NFS **Suggestions :** - Ajouter des exemples d'options sécurisées dans les exports - Détailler les paramètres de retry pour les montages automount - Préciser les variables d'environnement dans les playbooks Ansible - Inclure des sections sur la surveillance et la sauvegarde des données NFS **État réel connu de Hermes :** Le NFS est opérationnel avec les shares configurés, mais manque de mécanismes de résilience et de sécurité renforcée --- ## ✅ `admin/infra/reseau.md` — 9/10 **Statut** : à_jour **Résumé** : Document complet sur la configuration réseau de storage-01 avec des instructions claires pour nftables, routage, NAT et débogage, bien que quelques améliorations soient possibles. **Problèmes :** - La section nftables manque une explication sur la gestion des règles de priorité et des conflits potentiels avec les configurations manuelles - Les exemples de commande pour vérifier les règles nftables ne mentionnent pas le paramètre -n pour éviter la résolution DNS - La configuration des ports ouverts pourrait inclure des notes sur les bonnes pratiques de sécurité (ex: restriction IP source) **Suggestions :** - Ajouter un avertissement explicite sur les risques de modifier manuellement nftables - Inclure un exemple de commande avec 'nft -n list ruleset' pour éviter les résolutions DNS - Proposer un tableau comparatif des ports ouverts avant/après la configuration - Ajouter une note sur la vérification des règles de NAT avec 'tcpdump' ou 'Wireshark' pour le débogage avancé **État réel connu de Hermes :** La configuration réseau est opérationnelle avec des règles nftables gérées par Ansible. Le NAT fonctionne correctement entre les LAN et le WAN, et les ports essentiels sont ouverts. Les tests de connexions (ping, curl) montrent une bonne propagation du trafic. --- ## ✅ `admin/infra/ssh.md` — 8/10 **Statut** : à_jour **Résumé** : Le document décrit correctement les connexions SSH et transferts de fichiers, mais manque de recommandations de sécurité et de détails sur les configurations avancées. **Problèmes :** - Utilisation de PasswordAuthentication=yes pour la connexion root (risque de sécurité) - Aucune mention des bonnes pratiques pour la rotation des clés SSH - Le ProxyJump nécessite OpenSSH 8.7+ mais ce détail n'est pas précisé - Pas d'information sur la gestion des clés d'administrateur **Suggestions :** - Ajouter une section sur les bonnes pratiques de sécurité SSH (clé d'administrateur, disable_root_login) - Mettre en avant l'utilisation de clés SSH sans mot de passe - Préciser les dépendances logicielles pour ProxyJump - Ajouter des exemples de gestion des clés (generation, rotation) **État réel connu de Hermes :** Le système SSH est fonctionnel avec des connexions sécurisées via les aliases, mais pourrait être durci avec des configurations supplémentaires (comme disable_root_login et la gestion des clés d'administrateur). ---