# Rapport Hermes — 2026-06-07_05-00 > Branche : `hermes/daily-work` · Fichiers analysés : 5 --- ## Résumé - ✅ À jour : 4 - ⚠️ À améliorer : 1 ## ✅ `admin/infra/dnsmasq.md` — 9/10 **Statut** : ok **Résumé** : Le document dnsmasq.md est complet et à jour, couvrant la configuration, les tests, les mises à jour et les résolutions des problèmes connus. Les états vérifiés montrent un fonctionnement correct sans erreurs critiques. **Problèmes :** - La section 'Problème connu' pourrait préciser davantage les conditions déclenchant le crash (ex: dépendances système spécifiques) - Manque de mention des contraintes de sécurité (ex: restrictions sur les requêtes DNS) **Suggestions :** - Ajouter une note sur la surveillance proactive des logs DNS pour détecter les requêtes suspectes - Mettre en avant la gestion des dépendances réseau dans le fix permanent (ex: dépendance vers network-online.target) - Proposer un exemple de test automatisé pour vérifier la résolution DNS post-redémarrage **État réel connu de Hermes :** Le service dnsmasq fonctionne correctement sur storage-01 avec un uptime de 3 jours, résolution DNS valide pour compute-01.lab.local et openwebui.lab.local, et aucun conflit de configuration détecté. Le fix pour l'interface USB est appliqué via Ansible. --- ## ✅ `admin/infra/email.md` — 7/10 **Statut** : à_jour **Résumé** : Documentation complète sur la configuration SMTP relay Postfix vers Gmail avec prérequis, installation, vérification et dépannage. Peut être améliorée pour clarifier certains pas-à-pas. **Problèmes :** - La section 'Prérequis' ne détaille pas les étapes exactes pour générer un App Password (seulement des liens vers le site Google) - Les commandes 'make vault-edit' et 'make vault-encrypt' ne sont pas standard et nécessitent une documentation supplémentaire - Dans la vérification, 'sudo mail' pourrait ne pas être installé par défaut sur certaines distributions - La typo dans la section dépannage : 'smtp_generic_map' au lieu de 'smtp_generic_maps' dans la vérification de la réécriture expéditeur **Suggestions :** - Ajouter un exemple concret de génération du App Password avec les étapes exactes - Clarifier la nature des commandes 'make' (sont-elles des scripts personnalisés ?) - Indiquer les paquets à installer pour 'mail' et 'postfix' si nécessaire - Corriger la typo dans la configuration smtp_generic_maps **État réel connu de Hermes :** La configuration est opérationnelle dans le cluster Funk. Le relay Postfix vers Gmail fonctionne avec les paramètres décrits, mais les App Password doivent être régulièrement vérifiés et renouvelés. --- ## ⚠️ `admin/infra/nfs.md` — 0/10 **Statut** : erreur_parse **Résumé** : Hermes n'a pas retourné de JSON valide --- ## ✅ `admin/infra/reseau.md` — 9/10 **Statut** : à_jour **Résumé** : Document complet et structuré décrivant la configuration réseau du cluster Funk, avec des sections clés sur les interfaces, les règles nftables, les ports ouverts et les vérifications de forwarding. **Problèmes :** - Aucun mention de procédures de sauvegarde ou de récupération en cas de panne réseau - La version du kernel et des outils (nftables v0.9.5) devraient être vérifiés pour la compatibilité actuelle - Les règles nftables manquent d'exemples concrets pour certaines politiques de filtrage **Suggestions :** - Ajouter une section sur la supervision active des règles nftables (ex: scripts de vérification automatique) - Mettre à jour les versions mentionnées avec les versions actuelles des composants (ROCm, HSA, etc.) - Ajouter des explications sur les choix architecturaux pour les règles de NAT et de forwarding **État réel connu de Hermes :** Le réseau fonctionne avec les services critiques actifs (LiteLLM, Qdrant, PostgreSQL, etc.), les règles nftables appliquées via Ansible, et les vérifications de routing/forwarding réussies comme indiqué dans le document --- ## ✅ `admin/infra/ssh.md` — 8/10 **Statut** : à_jour **Résumé** : Le document décrit correctement les pratiques SSH du cluster, avec des exemples concrets et des vérifications d'état, bien que quelques configurations sécuritaires soient à améliorer **Problèmes :** - La configuration actuelle permet still le login en root (PermitRootLogin yes) contrairement aux bonnes pratiques de sécurité - Aucune mention des mesures de durcissement recommandées (sudo, sudoers, etc.) - Les commandes de débogage pourraient inclure des exemples avec -i pour spécifier explicitement la clé **Suggestions :** - Mettre à jour la configuration SSH pour désactiver PermitRootLogin et utiliser sudo вместо - Ajouter une section sur les bonnes pratiques de sécurité (sudo, contrôle d'accès, etc.) - Compléter les commandes de débogage avec des exemples utilisant -i ~/.ssh/id_ed25519 **État réel connu de Hermes :** sshd actif avec PermitRootLogin=yes et PasswordAuthentication=no. La configuration correspond à la documentation, mais présente des risques de sécurité liés à l'accès root direct ---