# Rapport Hermes — 2026-06-08_19-30 > Branche : `hermes/daily-work` · Fichiers analysés : 5 --- ## Résumé - ✅ À jour : 5 - ⚠️ À améliorer : 0 ## ✅ `admin/infra/dnsmasq.md` — 9/10 **Statut** : ok **Résumé** : Document complet et à jour sur la configuration DNS dnsmasq avec tests, gestion des configurations et résolution des problèmes connus **Problèmes :** - La solution permanente pour le crash au démarrage nécessite une modification systemd qui pourrait être plus claire pour les nouveaux administrateurs **Suggestions :** - Ajouter une note expliquant pourquoi l'interface USB est critique et comment vérifier son état avant redémarrage - Inclure un exemple de script pour automatiser la vérification des résolutions DNS régulières - Mettre en évidence les commandes les plus fréquemment utilisées (ex: test de configuration, rechargement) **État réel connu de Hermes :** Service dnsmasq actif depuis 3 jours, résolution DNS correcte pour compute-01.lab.local et openwebui.lab.local, aucun problème opérationnel critique détecté le 2026-06-05 --- ## ✅ `admin/infra/email.md` — 8/10 **Statut** : à_jour **Résumé** : Document complet sur la configuration Postfix SMTP relay vers Gmail, avec étapes d'installation, vérification et dépannage **Problèmes :** - La mention 'Expéditeur no' dans le tableau de dépannage semble être un typo (probablement 'Expéditeur non vérifié') **Suggestions :** - Ajouter une note sur la sécurisation du mot de passe App Password - Mettre en évidence les dépendances Ansible requises - Ajouter un exemple de test avec des destinataires multiples **État réel connu de Hermes :** Configuration fonctionnelle basée sur les étapes décrites, mais nécessite validation par un test de déploiement complet --- ## ✅ `admin/infra/nfs.md` — 8/10 **Statut** : à_jour **Résumé** : Documentation complète et à jour sur la configuration NFS avec procédures claires, mais manque de détails sur la sécurité et les bonnes pratiques. **Problèmes :** - Manque de mention sur les contrôles d'accès (ACL, Kerberos, etc.) - Options NFS comme no_root_squash peuvent représenter un risque de sécurité - Aucune mention des mesures de surveillance des disques RAID **Suggestions :** - Ajouter une section sur la sécurisation des exports NFS - Mettre à jour les options d'export avec des pratiques recommandées (ex: sec=none) - Inclure une procédure de vérification des états des disques RAID **État réel connu de Hermes :** Configuration stable avec services actifs, exports correctement configurés, mais manque de mesures de sécurité renforcée --- ## ✅ `admin/infra/reseau.md` — 9/10 **Statut** : à_jour **Résumé** : Document complet sur la configuration réseau du cluster Funk, incluant interfaces, routage, nftables, ports ouverts et débogage NAT. **Problèmes :** - La section 'État vérifié' mentionne une date future (2026-06-05) qui semble être un placeholder - La version ROCm mentionnée (6.1.2) ne correspond pas à la version réelle du cluster (6.1.2 vs 6.1.2 ?) - La commande 'nft insert rule' n'est pas expliquée dans la documentation - Manque de précision sur la gestion des règles nftables via Ansible (rôle/générateur) **Suggestions :** - Ajouter une note explicite sur la priorité des règles nftables (avant la règle drop terminale) - Mettre à jour la version ROCm et HSA_OVERRIDE_GFX_VERSION avec les valeurs réelles du cluster - Ajouter un exemple concret de commande 'nft insert rule' pour clarifier la pratique - Spécifier le chemin exact du template Ansible (nftables.conf.j2) dans la documentation **État réel connu de Hermes :** Le réseau du cluster fonctionne correctement avec les services actifs (LiteLLM, Qdrant, PostgreSQL, etc.), les règles nftables gérées par Ansible, et les configurations DNS/NAT validées par les tests proposés. --- ## ✅ `admin/infra/ssh.md` — 9/10 **Statut** : à_jour **Résumé** : Le document SSH est complet et conforme aux bonnes pratiques, avec des configurations sécurisées et des exemples concrets. **Problèmes :** - Manque de détails sur la configuration exacte de ~/.ssh/config (aliases, ProxyJump, etc.) - Aucune mention des politiques de rotation de clés ou des mécanismes d'audit SSH **Suggestions :** - Ajouter une annexes avec le contenu complet du fichier ~/.ssh/config - Préciser les paramètres de configuration pour ProxyJump dans les exemples - Inclure une section sur la gestion des clés (rotation, stockage sécurisé) **État réel connu de Hermes :** SSH fonctionne avec les configurations décrites : port 22, authentification par clé, sans auth mot de passe. Les services sshd sont actifs et les paramètres de sécurité sont conformes. ---