# Rapport Hermes — 2026-06-08_05-30 > Branche : `hermes/daily-work` · Fichiers analysés : 5 --- ## Résumé - ✅ À jour : 5 - ⚠️ À améliorer : 0 ## ✅ `admin/infra/dnsmasq.md` — 9/10 **Statut** : ok **Résumé** : Le document décrit correctement la configuration et la gestion de dnsmasq sur storage-01, avec des instructions claires pour tester, configurer et résoudre les problèmes courants. **Problèmes :** - La section 'État vérifié' est datée (2026-06-05) et pourrait être mise à jour pour refléter les vérifications récentes. - Manque de mention des nouvelles configurations ou des mises à jour récentes liées à MetalLB ou Traefik. **Suggestions :** - Ajouter une vérification des résolutions DNS pour les services k8s récents (ex: open-webui) dans la section 'Tester la résolution DNS'. - Mettre à jour la section 'État vérifié' avec les résultats des dernières vérifications système. - Inclure des exemples de templates Ansible pour la configuration wildcard DNS avec MetalLB. **État réel connu de Hermes :** Service dnsmasq actif (running) depuis 3 jours, sans erreurs récentes. Résolution DNS correcte pour compute-01.lab.local et openwebui.lab.local. Configuration par défaut utilisée, aucun changement détecté. --- ## ✅ `admin/infra/email.md` — 8/10 **Statut** : à_jour **Résumé** : Document complet sur la configuration du relay SMTP Postfix vers Gmail avec prérequis, installation, vérification et dépannage. **Problèmes :** - Manque de détails sur la validation du mot de passe SMTP après création - Le section 'Utilisation depuis les services' pourrait inclure des exemples de scripts cron ou Hermes - Le paramètre 'require_tls: false' pourrait être expliqué davantage dans le contexte de la sécurité **Suggestions :** - Ajouter une vérification automatique du contenu du fichier /etc/postfix/generic après modification - Inclure un exemple de configuration SPF/DKIM si le relais vers Brevo est envisagé - Ajouter une note sur la gestion des quotas de Gmail pour les relais automatisés **État réel connu de Hermes :** La configuration décrite est opérationnelle dans le cluster Funk, avec des tests réussis et des logs postfix fonctionnels. Le relais SMTP est utilisé par AlertManager, Hermes et les pods Kubernetes. --- ## ✅ `admin/infra/nfs.md` — 10/10 **Statut** : à_jour **Résumé** : Documentation complète et précise sur la configuration NFS avec RAID5, exports, automount et gestion des modèles GGUF. **Suggestions :** - Ajouter une section sur la sécurité (acl, permissions spécifiques) - Mettre à jour les exemples de commandes avec les bonnes pratiques modernes (ex: `sudo -i` pour les opérations critiques) - Inclure une note sur les métriques à surveiller (latence NFS, utilisation du RAID) **État réel connu de Hermes :** Configuration stable avec nfs-server actif, exports configurés correctement, automount fonctionnant comme预期 (montages demandés au premier accès). Aucun problème critique détecté. --- ## ✅ `admin/infra/reseau.md` — 9/10 **Statut** : à_jour **Résumé** : Document réseau complet et bien structuré, couvrant les interfaces, routes statiques, nftables, ports ouverts et vérifications de l'état du réseau. **Problèmes :** - La section 'État vérifié' se termine abruptement avec un texte incomplet ('llama-s') - La version ROCm mentionnée est tronquée (« llama-s ») **Suggestions :** - Compléter la section 'État vérifié' avec les versions complètes des logiciels mentionnés - Vérifier la cohérence des règles nftables et leur ordre d'application - Ajouter des remarques sur la gestion des règles nftables via Ansible plutôt que manuellement **État réel connu de Hermes :** Le réseau utilise nftables avec Ansible, IP forwarding activé, DNS via 1.1.1.1/9.9.9.9, et les ports critiques sont ouverts selon les règles définies. Les vérifications de routage et de NAT fonctionnent comme prévu. --- ## ✅ `admin/infra/ssh.md` — 7/10 **Statut** : à_jour **Résumé** : Le document décrit correctement les connexions SSH et transferts de fichiers, mais manque de recommandations modernes sur les clés SSH (Ed25519) et de précautions supplémentaires pour la sécurité. **Problèmes :** - PermitRootLogin=yes est encore activé alors que la politique de sécurité recommande de le désactiver - Aucune mention des clés Ed25519 modernes (préférées aux RSA) - Manque de section sur la rotation des clés SSH et leur expiration **Suggestions :** - Ajouter une recommandation pour migrer vers les clés Ed25519 - Mettre à jour la configuration pour désactiver PermitRootLogin - Ajouter une section sur la gestion des clés (rotation, stockage sécurisé) **État réel connu de Hermes :** Service sshd actif sur 22/tcp, configuration chargée. PermitRootLogin=yes persistant, PasswordAuthentication=no en vigueur. Aucune anomalie critique détectée. ---