Analysés : dnsmasq.md, email.md, nfs.md, reseau.md, ssh.md À améliorer : 1/5 Co-Authored-By: Hermes <hermes@funk.lab>
5.1 KiB
Rapport Hermes — 2026-06-07_05-00
Branche :
hermes/daily-work· Fichiers analysés : 5
Résumé
- ✅ À jour : 4
- ⚠️ À améliorer : 1
✅ admin/infra/dnsmasq.md — 9/10
Statut : ok
Résumé : Le document dnsmasq.md est complet et à jour, couvrant la configuration, les tests, les mises à jour et les résolutions des problèmes connus. Les états vérifiés montrent un fonctionnement correct sans erreurs critiques.
Problèmes :
- La section 'Problème connu' pourrait préciser davantage les conditions déclenchant le crash (ex: dépendances système spécifiques)
- Manque de mention des contraintes de sécurité (ex: restrictions sur les requêtes DNS)
Suggestions :
- Ajouter une note sur la surveillance proactive des logs DNS pour détecter les requêtes suspectes
- Mettre en avant la gestion des dépendances réseau dans le fix permanent (ex: dépendance vers network-online.target)
- Proposer un exemple de test automatisé pour vérifier la résolution DNS post-redémarrage
État réel connu de Hermes :
Le service dnsmasq fonctionne correctement sur storage-01 avec un uptime de 3 jours, résolution DNS valide pour compute-01.lab.local et openwebui.lab.local, et aucun conflit de configuration détecté. Le fix pour l'interface USB est appliqué via Ansible.
✅ admin/infra/email.md — 7/10
Statut : à_jour
Résumé : Documentation complète sur la configuration SMTP relay Postfix vers Gmail avec prérequis, installation, vérification et dépannage. Peut être améliorée pour clarifier certains pas-à-pas.
Problèmes :
- La section 'Prérequis' ne détaille pas les étapes exactes pour générer un App Password (seulement des liens vers le site Google)
- Les commandes 'make vault-edit' et 'make vault-encrypt' ne sont pas standard et nécessitent une documentation supplémentaire
- Dans la vérification, 'sudo mail' pourrait ne pas être installé par défaut sur certaines distributions
- La typo dans la section dépannage : 'smtp_generic_map' au lieu de 'smtp_generic_maps' dans la vérification de la réécriture expéditeur
Suggestions :
- Ajouter un exemple concret de génération du App Password avec les étapes exactes
- Clarifier la nature des commandes 'make' (sont-elles des scripts personnalisés ?)
- Indiquer les paquets à installer pour 'mail' et 'postfix' si nécessaire
- Corriger la typo dans la configuration smtp_generic_maps
État réel connu de Hermes :
La configuration est opérationnelle dans le cluster Funk. Le relay Postfix vers Gmail fonctionne avec les paramètres décrits, mais les App Password doivent être régulièrement vérifiés et renouvelés.
⚠️ admin/infra/nfs.md — 0/10
Statut : erreur_parse
Résumé : Hermes n'a pas retourné de JSON valide
✅ admin/infra/reseau.md — 9/10
Statut : à_jour
Résumé : Document complet et structuré décrivant la configuration réseau du cluster Funk, avec des sections clés sur les interfaces, les règles nftables, les ports ouverts et les vérifications de forwarding.
Problèmes :
- Aucun mention de procédures de sauvegarde ou de récupération en cas de panne réseau
- La version du kernel et des outils (nftables v0.9.5) devraient être vérifiés pour la compatibilité actuelle
- Les règles nftables manquent d'exemples concrets pour certaines politiques de filtrage
Suggestions :
- Ajouter une section sur la supervision active des règles nftables (ex: scripts de vérification automatique)
- Mettre à jour les versions mentionnées avec les versions actuelles des composants (ROCm, HSA, etc.)
- Ajouter des explications sur les choix architecturaux pour les règles de NAT et de forwarding
État réel connu de Hermes :
Le réseau fonctionne avec les services critiques actifs (LiteLLM, Qdrant, PostgreSQL, etc.), les règles nftables appliquées via Ansible, et les vérifications de routing/forwarding réussies comme indiqué dans le document
✅ admin/infra/ssh.md — 8/10
Statut : à_jour
Résumé : Le document décrit correctement les pratiques SSH du cluster, avec des exemples concrets et des vérifications d'état, bien que quelques configurations sécuritaires soient à améliorer
Problèmes :
- La configuration actuelle permet still le login en root (PermitRootLogin yes) contrairement aux bonnes pratiques de sécurité
- Aucune mention des mesures de durcissement recommandées (sudo, sudoers, etc.)
- Les commandes de débogage pourraient inclure des exemples avec -i pour spécifier explicitement la clé
Suggestions :
- Mettre à jour la configuration SSH pour désactiver PermitRootLogin et utiliser sudo вместо
- Ajouter une section sur les bonnes pratiques de sécurité (sudo, contrôle d'accès, etc.)
- Compléter les commandes de débogage avec des exemples utilisant -i ~/.ssh/id_ed25519
État réel connu de Hermes :
sshd actif avec PermitRootLogin=yes et PasswordAuthentication=no. La configuration correspond à la documentation, mais présente des risques de sécurité liés à l'accès root direct