fix(smart v0.1.17): smart_status optionnel + AmbientCapabilities CAP_SYS_ADMIN

- SmartJson.smart_status devient Option<SmartStatus> avec #[serde(default)]
  → parsing non-bloquant si le champ est absent (ex: NVME_IOCTL_ADMIN_CMD échoue)
- Service: suppression NoNewPrivileges, ajout AmbientCapabilities=CAP_SYS_ADMIN
  → smartctl hérite la capability via execve (kernel ≥ 5.2)
- Nettoyage logs debug (suppression dump JSON brut)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

deploy/nanometrics-agent.service

@@ -17,7 +17,12 @@ ConfigurationDirectoryMode=0755
 ProtectSystem=strict
 ProtectHome=read-only
 PrivateTmp=yes
-NoNewPrivileges=yes
+# CAP_SYS_ADMIN est requis par le noyau pour NVME_IOCTL_ADMIN_CMD (lecture SMART NVMe).
+# NoNewPrivileges est retiré car il efface les ambient capabilities sur exec (noyau ≥ 5.2),
+# ce qui empêcherait smartctl enfant d'hériter la capability.
+# CapabilityBoundingSet borne à la seule cap nécessaire.
+CapabilityBoundingSet=CAP_SYS_ADMIN
+AmbientCapabilities=CAP_SYS_ADMIN
 
 RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX