Après le premier test un deuxième essai avec un autre "modèle" : "Mistral Instruct 7B G4", le résultat généré en anglais, avec un petit peu de remise en forme (titres et sous titres en gras)le voici.

Title: Exploring the Linux Operating System: A Comprehensive Guide for Beginners

Introduction

Linux, an open-source operating system, is widely recognized for its versatility, security, and reliability. Initially developed in 1991 by Finnish software engineer Linus Torvalds, Linux has since become a cornerstone of the modern digital world, powering servers, supercomputers, and embedded devices. This article aims to provide a beginner-friendly introduction to the Linux operating system, its history, key features, and applications.

A Brief History of Linux

Linux was born out of Linus Torvalds' desire to create a free, Unix-like operating system. The initial version, Linux kernel 0.01, was released on September 17, 1991. Over the years, Linux has evolved significantly, thanks to the contributions of thousands of developers worldwide.

Today, Linux comes in various distributions, or "distros," each with its unique features, user interface, and focus. Some popular examples include Ubuntu, Debian, Fedora, Arch Linux, and CentOS.

Key Features of Linux

Open-Source: Linux is an open-source operating system, meaning its source code is freely available to everyone. This encourages collaboration, innovation, and customization.

Security: Linux's open-source nature and strong community support contribute to its robust security. The absence of proprietary code reduces the attack surface, making Linux less vulnerable to viruses and malware.

Stability: Linux is renowned for its stability and reliability. Its modular design allows for efficient resource management, minimizing system crashes and downtime.

Customization: Linux allows users to customize nearly every aspect of their operating system. This flexibility makes it ideal for users with diverse needs and preferences.

Compatibility: Linux supports a vast array of hardware and software. It can run on various architectures, from desktop computers to servers and mobile devices.

Getting Started with Linux

For beginners, choosing the right Linux distro is crucial. Ubuntu is a popular choice due to its user-friendly interface, extensive community support, and ease of installation. Other beginner-friendly distros include Linux Mint, Zorin OS, and Manjaro.

To install Linux, you'll need a computer with at least 2GB of RAM, a hard drive with at least 20GB of free space, and a CD/DVD drive or USB flash drive to create the installation media. Detailed installation guides are available for each distro.

Once installed, you can start exploring Linux by learning basic commands, navigating the file system, and customizing your desktop environment.

Applications and Uses of Linux

Linux is used in various applications, from servers and supercomputers to embedded devices and desktop computers. Google, Facebook, and Netflix all rely on Linux servers for their infrastructure. Linux is also the operating system of choice for Android smartphones.

For desktop users, Linux offers a range of productivity applications, including the LibreOffice suite, GIMP for graphic design, and VLC Media Player for multimedia.

Conclusion

Linux is an essential part of the modern digital landscape, offering a powerful, flexible, and secure operating system for a wide range of applications. Whether you're a seasoned developer, a curious beginner, or a casual user seeking an alternative to Windows or macOS, Linux is a versatile choice worth exploring. With its robust community support, extensive documentation, and wide array of applications, Linux continues to be a dynamic and evolving force in the world of operating systems.

 

 

Depuis mon coin en vacances j'ai téléchargé Jan sur mon portable avec seulement deux modèles et j'ai refait un petit essai :

Ecrit un texte (francais) pour dissuader d'utiliser Wndows, directement en français :

Bien sûr, je peux vous aider à rédiger un texte en français pour dissuader de l'utilisation de Windows. Voici un exemple :
Attention ! Utiliser Windows peut être source de nombreux problèmes et représenter un coût important en termes de temps, d'argent et de frustration.

En effet, Windows est connu pour être lent, instable et sujet à des bugs, ce qui peut entraîner des pertes de données et des interruptions incontrôlées de votre travail. En plus, les mises à jour de Windows peuvent être longues et nécessiter une connexion internet stable, ce qui peut être source de frustrations supplémentaires.

De plus, Windows est développé par une entreprise privée, Microsoft, qui peut utiliser votre utilisation de son système d'exploitation pour collecter des données personnelles sans votre consentement. Cela peut représenter une violation de votre vie privée et de votre liberté.

Enfin, l'utilisation de Windows est une dépendance coûteuse en termes de licences et de maintenance. Les mises à jour de Windows peuvent coûter des centaines d'euros, tandis que les licences de Windows peuvent coûter plusieurs centaines d'euros.

Il existe de nombreuses alternatives à Windows qui sont plus rapides, plus stables et plus privées, tels que Linux ou macOS. Ces systèmes d'exploitation sont open source et gratuits, ce qui signifie que vous pouvez utiliser et modifier le code source à votre guise. En plus, ils ne collectent pas de données personnelles sans votre consentement.

En choisissant un système d'exploitation libre et open source, vous pouvez réduire les coûts, améliorer la sécurité de votre système et protéger votre vie privée. N'hésitez pas à faire le pas vers un système d'exploitation plus adapté à vos besoins.

Je vous laisse juger de la qualité du résultat.

Pour créer cet annuaire il faut installer des "paquets" suivants (pour Debian) :

1. slapd  (le démon)
2. ldap-utils

La structure de notre annuaire sera simple :

• un "TOP" pour notre domaine "mondomaine.net"
• Une branche "users" pour stocker les utilisateurs enregistrés (accès à l'annuaire)

1. Un utilisateur "manager" : qui gère, entre autres les utilisateurs et qui peut effectuer des mises à jour.
2. Un utilisateur  "totor" : standard pour les accès en lecture seule
3. Le cas de l'utilisateur "propriétaire" : root (propriétaire de la base de données) est traité lors de la création de la base, il ne doit en général pas être utilisé. Son mot de passe doit donc rester secret ! 
    

Le fichier slapd.conf ne doit pas être lisible par tous : 
-rw-r-----   1 root openldap  3676 2010-01-26 20:29 slapd.conf 
S'il n'est pas correct le remettre "au secret" par : 

chown root:openldap slapd.conf 
chmod 640 slapd.conf

• Une branche "people" qui contiendra nos contacts.

Une fois les paquets installés il faut s'occuper de la configuration et celle-ci est quasiment intégralement contenue dans le fichier "/etc/slapd.conf" 
Dont je présente les extraits importants ci dessous 
-------------------------------------------------- 
backend         bdb 
database        bdb 
# The base of your directory in database #1 
suffix          "dc=domaine,dc=net" 
rootdn          "cn=root,dc=domaine,dc=net" 
rootpw          le_mot_de_passe_secret_non_utilisé 
# Where the database file are physically stored for database #1 
directory       "/var/lib/ldap/domaine.net" 
... 
-------------------------------------------------- 
Vérifiez que les "acl" (Access Control List) sont corrects pour la mise à  jour des contacts et la mise à jour des mots de passe. Nos "acl" sont extrêmement simples et LDAP peut faire beaucoup mieux ! 
-------------------------------------------------- 
... 
# users can modify their passwords 
access to attrs=userPassword 
        by dn.regex="cn=manager,ou=users,dc=izzop,dc=net" write 
        by dn.regex="cn=root,dc=izzop,dc=net" write 
        by anonymous auth 
        by self write 
        by * read 
access to dn.base="" by * read 

# The manager has full write access to people,root too, everyone else 
# can read everything. 
access to dn.children="ou=people,dc=izzop,dc=net" 
        by dn.regex="cn=manager,ou=users,dc=izzop,dc=net" write 
        by dn.regex="cn=root,dc=izzop,dc=net" write 
        by * read 
# only root can update all 
access to * 
        by dn.regex="cn=manager,ou=users,dc=izzop,dc=net" read 
        by dn.regex="cn=root,dc=izzop,dc=net" write 
        by * read 
... 
-------------------------------------------------- 
Ainsi seul notre utilisateur principal "manager" peut modifier les mots de passe et en secours le "root". 
S'assurer que l'utilisateur principal "manager" et le propriétaire "root" peuvent accéder à tout en mise à jour : 
-------------------------------------------------- 
... 
access to * 
        by dn.regex="cn=manager,ou=users,dc=domaine,dc=net" read 
        by dn.regex="cn=root,dc=domaine,dc=net" write 
        by * read 
... 
-------------------------------------------------- 
stopper le service "slapd" et détruire la base "bdb" (c'est celle créée par défaut) située dans /var/lib/ldap/domaine.net : 
cd /var/lib/ldap/domaine.net 
rm -f * 

Copier ceci dans le fichier /var/lib/ldap/domaine.net/DB_CONFIG pour optimiser le fonctionnement 

set_cachesize 0 2097152 0 
set_lk_max_objects 1500 
set_lk_max_locks 1500 
set_lk_max_lockers 1500 

Ces valeurs ne sont pas miraculeuses mais elles fonctionnent fort bien pour la taille d'annuaire visée. 
Démarrer le service "slapd" pour recréer la base ldap puis impérativement le stopper ensuite pour exécuter les opérations suivantes. 
Créer un fichier "LDAPTOP" de définition de notre "structure" d'annuaire contenant : 
----------------- LDAPTOP -------------------------- 
dn: dc=domaine,dc=net 
dc: domaine 
description: Mon domaine à moi 
o: Domaine et Cie 
objectClass: dcObject 
objectClass: organization 
structuralObjectClass: organization 

dn: ou=users,dc=domaine,dc=net 
description: les utilisateurs 
objectClass: organizationalUnit 
objectClass: top 
ou: users 
structuralObjectClass: organizationalUnit 

dn: ou=people,dc=domaine,dc=net 
description: Les gens 
objectClass: organizationalUnit 
objectClass: top 
ou: people 
structuralObjectClass: organizationalUnit 
------------------------------------------------- 
Exécuter la commande suivante (slapd stoppé !) pour intégrer ces éléments dans la base : 

slapadd -f /etc/ldap/slapd.conf -l /root/LDAPTOP -c -v 

Créer un fichier "LDAPMANAGER" (définition de nos utilisateurs) contenant ------------------------------------------------- 
dn: cn=manager,ou=users,dc=domaine,dc=net 
cn: manager 
givenName: manager 
sn: Le responsable de l'annuaire 
userPassword: le_mot_de_passe_du_manager_qui_est_secret 
structuralObjectClass: inetOrgPerson 
objectClass: inetOrgPerson 
objectClass: top 
objectClass: person 
objectClass: organizationalPerson 

dn: cn=totor,ou=users,dc=domaine,dc=net 
cn: totor 
givenName: totor 
sn: utilisateur quelconque  
userPassword: le_mot_de_passe_pour_lecture_seule 
structuralObjectClass: inetOrgPerson 
objectClass: inetOrgPerson 
objectClass: top 
objectClass: person 
objectClass: organizationalPerson 
------------------------------------------------- 
Lancer la commande suivante pour intégrer ce fichier : 

slapadd -f /etc/ldap/slapd.conf -l /root/LDAPMANAGER -c -v 

Il reste quelques commandes pour améliorer les performances futures : 

slapindex -f /etc/ldap/slapd.conf 
cd /var/lib/ldap/domaine.net 
chown -R openldap:openldap * 

Dès que le service "slapd" est relancé l'annuaire est alors prêt pour l'enregistrement des adresses de vos contacts. 

Si vous disposez déja de données de contact vous pouvez les mettre au format suivant afin de les intégrer automatiquement ( awk est votre ami si le nombre d'adresses est étevé ) et les stocker dans le fichier "MESADRESSES" : 
--------------------------------------------------------- 
dn: cn=NOM,ou=people,dc=domaine,dc=net 
displayName: LE NOM DE DISPLAY 
objectClass: inetOrgPerson 
objectClass: person 
objectClass: organizationalPerson 
sn: NOM 
givenName: LE NOM DE DISPLAY 
mobile: 06 01 02 03 04 
homePhone: 01 01 02 03 04 
homePostalAddress: ADRESSE_RUE$ADRESSE_VILLE$CODE8POSTAL$PAYS 
cn: NOM 
mail: MAIL@DOMAINE 
-------------------------------------------------------------------------------------- 
Vous pourrez alors lancer les commandes destinées à  intégrer votre fichier d'adresses  ( les options "-c" permettent de continuer sur erreur "-v" donne un programme plus "bavard")  après avoir stoppé le service "slapd" 
# pour Debian; Ubuntu ... 
/etc/init.d/slapd stop 
# pour d'autres  
service slapd stop 
slapadd -f /etc/ldap/slapd.conf -l /tmp/MES_ADRESSES -c -v 

Relancer le service "slapd" 

Un utlitaire assez "sympa" à  utiliser pour voir et éventuellement mettre à jour le contenu d'un annuaire : "luma", c'est parfait pour changer un mot de passe. D'autres utilitaires graphiquesc LDAP: "gq" ou "lat" moins "amusants" mais aussi efficaces, on peut aussi citer "jxplorer" qui, écrit en Java, existe sur la plupart des plateformes. 
 

J'ai maintenant un bel annuaire LDAP, il marche bien et contient, déjà, tout plein d'adresses mail, postales. 
Et si, horreur, un vilain bug passant par là me faisait perdre toutes ces données ? 
Je n'ose même pas y penser, les remarques désobligeantes de la famille, la nécessité de re-saisir ... noms, adresses mail, numéros de téléphone, être obligé de parcourir le site pagesjaunes (ou blanches) à la recherche d'une partie des données perdues. 
Il me faut une solution ! Et vite ! 
Heureusement il y a "ldap-utils" et il y a là dedans notre sauveur, on y trouve entre autres outils un petit programme appelé "slapcat" qui permet d'effectuer une copie ( "cat" ) d'un annuaire LDAP. 
Un petit script et nous voilà à l'abri d'une grosse catastrophe. 
#!/bin/bash 
mark=`date +%y_%m_%d `  
REPSAUVE='/ailleurs' 
DOMAINE='dc=domaine,dc=net' 
SAUVE=$REPSAUVE'/DumpLDAP_'$mark'.ldif' 
/usr/sbin/slapcat -f /etc/ldap/slapd.conf -b "$DOMAINE"  -l $SAUVE 
ret=$? 
if [ $ret -ne 0 ] 
   then 
    echo 'Erreur sauve ldap !!!' 
fi 
exit $ret 

Ce petit script effectue la copie dans un répertoire "/ailleurs" que vous pouvez mettre n'importe où, de préférence sur un autre disque. La sauvegarde doit être effectuée annuaire en marche et l'exécution peut être "cronée" pour s'assurer de la régularité de la sauvegarde. Au début tous les jours, puis toutes les semaines. 
Le vidage est effectué au format "ldif" qui est un standard dans le domaine LDAP et les fichiers sont "datés" pour l'historique. 
Le format "ldif" peut être utilisé avec un grand nombre d'outils tels ceux nous ayant permis de créer la structure de l'annuaire.

J'ai un PC portable sous Linux (cela vous étonne ?) et cela m'ennuierai d'être séparé de mes chers contacts. 
Je pourrais, bien sûr, effectuer une copie locale des données. Cette opération est en général très simple à faire et est déclenchable dans les propriétés de l'annuaire de votre programme de mail favori  (Evolution et Thunderbird le font très bien). 
Mais, la nature humaine étant ce qu'elle est, on oublie la mise à jour ... et ... un seul être vous manque et tout est dépeuplé , qu'est ce que je raconte ? Il nous manquera toujours l'adresse de M. Untel dont on a un besoin urgent. 
La solution s'appelle "réplication". Il suffit d'installer un petit LDAP "local" et d'expliquer aux deux système que l'un est "Maître" et l'autre "Esclave". 
L'esclave interroge régulièrement le maître : 
"Maître avez-vous reçu des mises à jour depuis la dernière que vous m'avez fait l'honneur de me communiquer et qui portait le numéro NNN ? " 
Et le maître répond : "non esclave je n'ai aucune mise à jour " ou bien "Oui esclave j'ai des mises à jour, les voici ......". 
Grâce aux développeurs de OpenLdap il existe une possibilité toute simple de réaliser ce miracle. Quelques petites modifications dans les paramètres de configuration et ... le tour est joué. 
Modifications du "Maître"  
Dans le fichier "/etc/ldap/slapd.conf", oui oui, j'ai dupliqué le fichier avant d'y toucher : 
Au début du fichier de configuration il faut charger dynamiquement un module spécifique : 

moduleload syncprov 

Syncprov = Synchronization Provider ? 
Un peu plus loin dans le fichier, après la directive : 
"database        bdb" il faut ajouter les lignes suivantes : 

overlay syncprov 
syncprov-checkpoint 1 5 
replica host=MON_ESCLAVE:489 
        binddn="cn=root,dc=domaine,dc=net" 
        bindmethod=simple credentials="le_mot_de_passe_secret_de_root" 
        syncprov-reloadhint TRUE 

Cette petite manip permet au maître de savoir qu'il est maître de l'esclave nommé ici, les autres peuvent aller se faire voir ! 
Une fois "slapd" redémarré le maître est prêt. On n'est pas en SSL, ni sécurisé à mort, les mots de passe sont en clair dans le fichier ... on peut faire autrement, mais si c'est plus beau c'est aussi beaucoup plus difficile. Et puis le fichier de config n'est lisible que par "root" (c'est moi) et par le groupe "openldap" où je n'ai mis que le user du même nom. Et en plus les adresses dont je dispose ne sont pas classées "données sensibles", on admettra donc ce trou de sécurité. 

Modifications de l'esclave. 
Peu après la directive : 
"database bdb" il faut ajouter les lignes suivantes : 

syncrepl rid=007 
        provider=ldap://MON_MAITRE:489 
        type=refreshOnly 
        interval=00:02:00:00 
        searchbase="dc=domaine,dc=net" 
        filter="(objectClass=*)" 
        scope=sub 
        schemachecking=off 
        bindmethod=simple 
        binddn="cn=root,dc=domaine,dc=net" 
        credentials="le_mot_de_passe_secret_de_root" 

La petite zone "00:02:00:00" permet de régler la fréquence de la mise à jour (ici 2 heures) à la seconde près ! 
Dès le démarrage le client sait qu'il a un maître et va s'enquérir des nouveautés auprès de son maître. 

On peut même s'amuser à effectuer l'opération suivante ( SUR L'ESCLAVE !)  :

1. Stopper "slapd", sur l'esclave je me répète
2. Aller dans le répertoire "/var/lib/ldap/domaine.net"
3. Y détruire tout (sauf le fichier DB_CONFIG), si on est bien sur la machine esclave !
4. Relancer "slapd"

Et le miracle s'accomplit, l'annuaire est "rempli" de données toutes fraîches, c'est  m a g i q u e ! 

Donc comme cela les adresses de mon portable seront toujours "au top" car il est souvent branché sur le réseau au contact direct de son maître préféré. 
Le seul problème est que je ne peux pas saisir d'adresses sur le portable, j'ai d'ailleurs paramétré le client mail en lecture seule. 
 

Maintenant que notre annuaire est opérationnel il faut pouvoir nous en servir et l'intermédiaire le plus courant est tout bêtement votre programme de gestion des mails. 
Il existe des interfaces permettant de consulter les annuaires LDAP et même des possibilités d'accès à cet annuaire par le Web, mais c'est une autre histoire. 

Les pages suivantes présentent le paramétrage de différents clients mails.

Note 2024 : je n'ai pas touché au paramétrage de mon mail (Evolution) depuis cette date, et cela marche toujours ...

J'ai migré dernièrement la plupart de mes machines de "Jessie" à "Stretch" et cela s'est en moyenne fort bien passé malgré quelques "ennuis" mineurs, mais parfois un peu surprenants. 
Quelques utilitaires (au moins un) ont changé de répertoire et tous les appels indiquant un chemin complet pour ne pas dépendre du PATH échouent. C'est le cas de "tunctl" qui est passé de /usr/sbin à /usr/bin et cela m'a permis de lancer des machines virtuelles sans accès réseau, mais la réparation est facile ... après il faut "tuer" ces diables de machines fermées du monde extérieur. 
J'ai aussi eu une machine qui utilisait "gdm3" pour le login X et brusquement ne présentait plus l'interface X en prétextant un plantage de "gnome-session", la solution rapide ... remplacer "gdm3" par "lightdm", mais Madame a été perturbée par ce nouvel écran de login !
Dans un autre cas la version de Thruk a été rendue inopérante, mais cette version avait été compilée localement et commençait à dater un peu ... j'ai donc au passage installé la dernière version, mais c'est une autre histoire que je vous conterai dans un autre article.

Sur une autre machine j'ai voulu installer MariaDB (proposé en standard dans Stretch) à la place de Mysql, mais j'avais oublié que cette machine disposait d'un Mysql 5.7, l'installation de MariaDB a signalé une erreur lors de l'installation de la partie serveur car certaines tables présentaient des incompatibilités, la solution est très simple :

Vérifier la dernière sauvegarde, il faut toujours en faire une avant manip risquée ! 
Sauvegarder ses paramètres (/etc/mysql)

• Tout effacer        apt-get remove --purge mariadb-server
• Ré-installer        apt-get install mariadb-server
• Re-créer Schémas et Utilisateurs,
• Remettre en place un paramétrage correct, attention il y a des différences entre Mysql et MariaDB
• Recharger la dernière sauvegarde (dump des données fait avec "mysqldump", ça sert les sauvegardes ! En plus je disposais d'une copie du disque de la machine virtuelle.

Et cela fonctionne, ce site est sur la machine virtuelle en question.

Ce petit livre raconte les actions faites pour migrer de Debian 9 (Stretch) à Debian 10 (Buster). Buster n'étant pas encore mis en "stable" je me limite à des tests sur des machines virtuelles (sous KVM ou XEN).

1. Test sur une MV simple (Xen), servira aussi de test de Linux 5.0.2 Xénifié.
2. Test sur une MV applicative (KVM) (Apache, PHP, MariaDB ...), en partie pour effectuer aussi un passage de PHP7.0 à une version ultérieure.
3. Passage d'une machine de production.

La migration de quelques autres MV, en suivant les règles, s'est passée sans incidents. Ce site lui même va migrer dès le passage de Buster en "stable".

Après la migration quasiment sans problèmes de plusieurs machines virtuelles ou physiques j'ai fini par migrer ma machine principale, celle connectée au modem fibre et qui abrite notamment ce site. Cette migration m'a donné quelques soucis notamment avec l'annuaire LDAP géré sur cette machine. 

Détails à venir.

Nous verrons dans un prochain article l'installation de ZIMBRA sur un mini serveur "Physique". 
En attendant de définir le hardware de ce serveur (à faible consommation pour rester connecté en permanence) je vais m'entraîner sur une MV (Debian 32bits), celà ne coûte pas cher et devrait me permettre d'évaluer plus précisément la mémoire et le CPU nécessaire pour cette application, ou plutôt ensemble d'applications car le paquet inclut :

• Un serveur mail
• Un serveur pop et imap
• Un Webmail
• Un antispam
• Un antivirus
• Un interface d'administration
• Le moteur est fourni par :

1. Une base mysql
2. Un annuaire LDAP (Openldap)
3. Un serveur d'applications (Jetty)
4. Un serveur SMTP (Postfix)
5. Un serveur WEB (Apache)
6. L'antivirus (Clamav)
7. L'antispam (Spamassassin)

et d'autres bricoles que je vais m'empresser de voir. 
Pour les détails aller sur le site de ZIMBRA 
Je crée la MV adéquate : une debian 32bits en version "stable" Lenny. 
L'installation a été faite sur une machine virtuelle :

• RAM     1536Mo
• CPU     1
• Disques  Système 8,6Go (swap 2.0Go, /root 6.6Go)
•               Data (16Go à monter sur /opt car ZIMBRA s'installe sur /opt)

Ce système est un système "minimum" sans même un interface graphique : 

 

Quelques pré-requis (repérés lors des premières tentatives d'installation de ZIMBRA) :

• Le fichier /etc/hosts doit être complet avec le nom d'hôte sous la forme : 
  adresse      nom complet         nom 
  192.168.x.x com-mail.mondomaine com-mail
• Installation de quelques paquets nécessaires : 
  "libgmp3c2"  "libstdc++5"  "libexpat1" "libperl5.10" "sudo" "sysstat" 
  réalisés par : apt-get install libgmp3c2 libexpat1 libperl5.10 sudo sysstat libstdc++5 
  Il faudra activer le service "sysstat" dans le fichier /etc/default/sysstat en passant "ENABLED" à "true".
• Quelques outils utiles ou indispensables. 
  "openssh-server"        impératif sur une machine ! 
  "ntp"   pour avoir un serveur à l'heure, "branché" sur une des machines du réseau en commentant les lignes ( /etc/ntp.conf ) "server 0.debian... à 2.debian..." et en remplaçant l'adresse du dernier par "192.168.1.6" (l'adresse du serveur NTP interne). 
  "vim"   je le préfère au "vi" brut. 
  "rsync" pour les sauvegardes futures
• Désactiver le service mail (exim4) installé par défaut.

1. Stopper le service :   /etc/init.d/exim4 stop
2. Supprimer le paquet "exim4" :      apt-get remove --purge exim4

• Mettre en place le disque "DATA" formaté en "ext3", "ext4" n'est pas encore OK pour les noyaux "anciens" tel celui de la Debian 5.0 
  Donner un label au disque :                    e2label /dev/hdb1 OPT 
  puis ajouté la ligne : 
  LABEL=OPT       /opt            ext3    defaults        0       2 
  en fin du fichier /etc/fstab afin d'obtenir le montage automatique.
• Economiser un peu de mémoire ... 
  L'installation "minimum" ne comporta aucun service superflu, seuls les démons "cron" et "at" sont installés par défaut et il faut les garder 
  Modifier le fichier "/etc/inittab" pour y commenter l'ouverture des trois derniers getty.
• Mettre une adresse IP fixe.

Modifier le fichier "/etc/network/interfaces" 
Avant : 
..... 
# The primary network interface 
allow-hotplug eth0 
iface eth0 inet dhcp 
Après : 
..... 
auto eth0 
iface eth0 inet static 
        address 192.168.1.xxx 
        netmask 255.255.255.0 
        network 192.168.1.0 
        gateway 192.168.1.6 
        broadcast 192.168.1.255

La suite de cette palpitante histoire dans l'article suivant : Installation de ZIMBRA

Note 2016, cet article est devenu "historique", voir plutôt "Installation de ZIMBRA dans une MV". 
La machine étant prête on peut passer à la suite : l'installation de notre logiciel. 
Après avoir chargé le fichier (tar.gz) fourni par ZIMBRA pour votre configuration, ici pour une Deian 5 i386 ( #460Mo quand même ). 
Il suffit de la décompacter dans un répertoire tranquille on se trouve face à un répertoire contenant : 
drwxr-xr-x 2  503  503 4096 déc.  15 05:45 bin 
drwxr-xr-x 2  503  503 4096 déc.  15 05:45 data 
drwxr-xr-x 3  503  503 4096 déc.  15 05:45 docs 
-rwxr-xr-x 1  503  503 6528 déc.  15 05:45 install.sh 
drwxr-xr-x 2  503  503 4096 déc.  15 05:46 packages 
-r--r--r-- 1  503  503  369 déc.  15 05:45 readme_binary_en_US.txt 
-r--r--r-- 1  503  503 8575 déc.  15 05:45 readme_source_en_US.txt 
-r--r--r-- 1  503  503  428 déc.  15 05:45 README.txt 
drwxr-xr-x 3  503  503 4096 déc.  15 05:45 util 
La version est toute récente (15 décembre !). 
Les différents packages sont (répertoire packages) : 
-rw-r--r-- 1 503 503  11196160 déc.  15 05:45 zimbra-apache_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503 176340458 déc.  15 05:46 zimbra-core_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503   6083466 déc.  15 05:46 zimbra-ldap_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503      1324 déc.  15 05:46 zimbra-logger_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503    836320 déc.  15 05:46 zimbra-memcached_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503  62142320 déc.  15 05:46 zimbra-mta_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503   1788722 déc.  15 05:46 zimbra-proxy_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503   6472146 déc.  15 05:46 zimbra-snmp_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503  41755764 déc.  15 05:46 zimbra-spell_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
-rw-r--r-- 1 503 503 148819674 déc.  15 05:46 zimbra-store_6.0.4_GA_2038.DEBIAN5_64_amd64.deb 
du solide !

La lecture du (court) fichier README : 
Binary release: 
   README.txt - this file 
   install.sh - install script 
   bin/ - binaries used during install 
   data/ - contains installation data 
   packages/ - contains ZCS rpms 
   docs/ - more documentation 
Installing from binary: 
   tar xzf zcs.tgz 
   cd zcs 
   ./install.sh 
Nous conforte dans l'utilisation du fichier "install.sh" pour installer le tout../install.sh

====================================================================  Operations logged to /tmp/install.log.2657  Checking for existing installation...      zimbra-ldap...NOT FOUND      zimbra-logger...NOT FOUND      zimbra-mta...NOT FOUND      zimbra-snmp...NOT FOUND      zimbra-store...NOT FOUND      zimbra-apache...NOT FOUND      zimbra-spell...NOT FOUND      zimbra-convertd...NOT FOUND      zimbra-memcached...NOT FOUND      zimbra-proxy...NOT FOUND      zimbra-archiving...NOT FOUND      zimbra-cluster...NOT FOUND      zimbra-core...NOT FOUND  PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE.  ZIMBRA, INC. ("ZIMBRA") WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU  FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING  THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY  THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS  AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.  License Terms for the Zimbra Collaboration Suite:    http://www.zimbra.com/license/zimbra_public_eula_2.1.html  Press Return to continue  =========================================================================  La licence reste dans les termes classiques et ne présente pas de spécificité marquante, on peut l'accepter sans réticences.  =========================================================================  Checking for prerequisites...       FOUND: NPTL       FOUND: sudo-1.7.2p1-1       FOUND: libidn11-1.15-2       FOUND: libpcre3-7.8-3       FOUND: libgmp3c2-2:4.2.2+dfsg-3       FOUND: libexpat1-2.0.1-6       FOUND: libstdc++6-4.4.2-3       FOUND: libstdc++5-1:3.3.6-18       FOUND: libperl5.10-5.10.1-8  Checking for suggested prerequisites...      FOUND: perl-5.10.0      FOUND: sysstat  Prerequisite check complete.  Checking for installable packages  Found zimbra-core  Found zimbra-ldap  Found zimbra-logger  Found zimbra-mta  Found zimbra-snmp  Found zimbra-store  Found zimbra-apache  Found zimbra-spell  Found zimbra-memcached  Found zimbra-proxy  Select the packages to install  Install zimbra-ldap [Y]  Install zimbra-logger [Y]  Install zimbra-mta [Y]  Install zimbra-snmp [Y]  Install zimbra-store [Y]  Install zimbra-apache [Y]  Install zimbra-spell [Y]  Install zimbra-memcached [Y]  Install zimbra-proxy [Y]  Checking required space for zimbra-core  checking space for zimbra-store  Installing:      zimbra-core      zimbra-ldap      zimbra-logger      zimbra-mta      zimbra-snmp      zimbra-store      zimbra-apache      zimbra-spell      zimbra-memcached      zimbra-proxy  The system will be modified.  Continue? [N] Y

============================================================ 
J'ai installé toutes les options et "Y" pour continuer 
============================================================

Removing /opt/zimbra  Removing zimbra crontab entry...done.  Cleaning up zimbra init scripts...done.  Cleaning up /etc/ld.so.conf...done.  Cleaning up /etc/security/limits.conf...done.  Finished removing Zimbra Collaboration Suite.  Installing packages      zimbra-core......zimbra-core_6.0.4_GA_2038.DEBIAN5_64_i386.deb...      zimbra-ldap......zimbra-ldap_6.0.4_GA_2038.DEBIAN5_64_i386.deb...done      zimbra-logger......zimbra-logger_6.0.4_GA_2038.DEBIAN5_64_i386.deb...done      zimbra-mta......zimbra-mta_6.0.4_GA_2038.DEBIAN5_64_i386.deb...done      zimbra-snmp......zimbra-snmp_6.0.4_GA_2038.DEBIAN5_64_i386.deb...done      zimbra-store......zimbra-store_6.0.4_GA_2038.DEBIAN5_64_i386.deb...      zimbra-apache......zimbra-apache_6.0.4_GA_2038.DEBIAN5_64_i386.deb...done      zimbra-spell......zimbra-spell_6.0.4_GA_2038.DEBIAN5_64_i386.deb...  Operations logged to /tmp/zmsetup.12292009-155158.log  Installing LDAP configuration database...done.  Setting defaults...    MX: com-mail.jpp.fr (192.168.1.225)      Interface: 192.168.1.225      Interface: 127.0.0.1          192.168.1.225  done.  Checking for port conflicts  Checking for port conflicts  Port conflict detected: 25 (zimbra-mta)  Port conflicts detected! - Any key to continue  =============================================================================  J'avais laissé exim4 actif ! Il était pourtant désinstallé !  Mais en fait il était resté --> je le stoppe et désactive le script avec un "exit" bien  placé dans le script !  Je supprime aussi l'exécutable " /usr/sbin/exim4 ".  Et on continue  =============================================================================  Main menu     1) Common Configuration:                                                      2) zimbra-ldap:                             Enabled                           3) zimbra-store:                            Enabled                                +Create Admin User:                    yes                                    +Admin user to create:                 admin@com-mail.jpp.fr         ******* +Admin Password                        UNSET                                  +Enable automated spam training:       yes                                    +Spam training user:                   spam.57zxf5al@com-mail.jpp.fr          +Non-spam(Ham) training user:          ham.dugtitbk@com-mail.jpp.fr           +Global Documents Account:             wiki@com-mail.jpp.fr                   +SMTP host:                            com-mail.jpp.fr                        +Web server HTTP port:                 80                                     +Web server HTTPS port:                443                                    +Web server mode:                      http                                   +IMAP server port:                     143                                    +IMAP server SSL port:                 993                                    +POP server port:                      110                                    +POP server SSL port:                  995                                    +Use spell check server:               yes                                    +Spell server URL:                     http://com-mail.jpp.fr:7780/aspell.php          +Configure for use with mail proxy:    FALSE                                  +Configure for use with web proxy:     FALSE                                  +Enable version update checks:         TRUE                                   +Enable version update notifications:  TRUE                                   +Version update notification email:    admin@com-mail.jpp.fr                  +Version update source email:          admin@com-mail.jpp.fr             4) zimbra-mta:                              Enabled                           5) zimbra-snmp:                             Enabled                           6) zimbra-logger:                           Enabled                           7) zimbra-spell:                            Enabled                           8) Default Class of Service Configuration:                                    r) Start servers after configuration        yes                               s) Save config to file                                                        x) Expand menu                                                                q) Quit                                     Address unconfigured (**) items  (? - help)

====================================================================== 
La suite dans l'article suivant en cliquant ci-dessous à droite.

La suite de l'installation de ZIMBRA 
========================================== 
Tout a été configuré en standard et je n'ai pour le moment aucun besoin de spécificités "pointues". 
Le seul item non configuré est le mot de passe de l'administrateur que je m'empresse de configurer 
avec la touche "x : Expand menu", puis "3 : zimbra-store" qui affiche le menu suivant : 
============================================= 
Store configuration 
   1) Status:                             Enabled                        
   2) Create Admin User:                  yes                            
   3) Admin user to create:               admin@com-mail.jpp.fr          
** 4) Admin Password            .         UNSET                          
   5) Enable automated spam training:     yes                            
   6) Spam training user:                 spam.57zxf5al@com-mail.jpp.fr  
   7) Non-spam(Ham) training user:        ham.dugtitbk@com-mail.jpp.fr   
   8) Global Documents Account:           wiki@com-mail.jpp.fr           
   9) SMTP host:                          com-mail.jpp.fr                
  10) Web server HTTP port:               80                             
  11) Web server HTTPS port:              443                            
  12) Web server mode:                    http                           
  13) IMAP server port:                   143                            
  14) IMAP server SSL port:               993                            
  15) POP server port:                    110                            
  16) POP server SSL port:                995                            
  17) Use spell check server:             yes                            
  18) Spell server URL:                   http://com-mail.jpp.fr:7780/aspell.php 
  19) Configure for use with mail proxy:  FALSE                          
  20) Configure for use with web proxy:   FALSE                          
  21) Enable version update checks:       TRUE                           
  22) Enable version update notifications:TRUE                           
  23) Version update notification email:  admin@com-mail.jpp.fr          
  24) Version update source email:        admin@com-mail.jpp.fr          
Select, or 'r' for previous menu [r]  
=================================================================================== 
Je choisis le "4" pour mettre en place le mot de passe ADMIN 
============================================================================== 
Password for admin@com-mail.jpp.fr (min 6 characters): [jynfxBVR] 
============================================================================== 
Le mot de passe par défaut ne me convient pas, j'en met donc un bien à moi. 
Le menu se réaffiche et cette fois je tape "r" pour remonter au menu supérieur. 
Cette option me réaffiche le "main menu" avec une petite différence à la fin : 
=================================================================================== 
*** CONFIGURATION COMPLETE - press 'a' to apply 
Select from menu, or press 'a' to apply config (? - help)  
=================================================================================== 
Je choisis donc "a" pour appliquer l'ensemble des choix effectués. 
============================================================================== 
A la question "Save configuration data to a file? [Yes] " je laisse la valeur standard "Yes". 
A la question "Save config in file: [/opt/zimbra/config.9056] " je valide par "entrée". 
=================================================================================== 
Saving config in /opt/zimbra/config.9056...done. 
The system will be modified - continue? [No] 
=================================================================================== 
On est prudent chez ZIMBRA et je frappe "Yes" 
=================================================================================== 
Operations logged to /tmp/zmsetup.12292009-155158.log 
===================================================================== 
.... un tas de lignes de log heureusement terminées par "...done". 
===================================================================== 
You have the option of notifying Zimbra of your installation. 
This helps us to track the uptake of the Zimbra Collaboration Suite. 
The only information that will be transmitted is: 
    The VERSION of zcs installed (6.0.4_GA_2038_DEBIAN5) 
    The ADMIN EMAIL ADDRESS created (admin@com-mail.jpp.fr) 
Notify Zimbra of your installation? [Yes]  
====================================================================== 
Je réponds "no" car cette adresse n'est accessible que sur mon réseau interne. 
====================================================================== 
Notification skipped 
Starting servers... 
====================================================================== 
Le démarrage est un peu long car il y "du monde" à démarrer..... y compris 
des applications "java". 
Après environ 90 secondes : 
====================================================================== 
Installing common zimlets... 
    com_zimbra_adminversioncheck...done. 
    com_zimbra_bulkprovision...done. 
    com_zimbra_email...done. 
    com_zimbra_ymemoticons...done. 
    com_zimbra_url...done. 
    com_zimbra_local...done. 
    com_zimbra_date...done. 
    com_zimbra_phone...done. 
    com_zimbra_cert_manager...done. 
Finished installing common zimlets. 
Initializing Documents...done 
Restarting mailboxd...done 
Setting up zimbra crontab...done. 
Moving /tmp/zmsetup.12302009-192333.log to /opt/zimbra/log 
Configuration complete - press return to exit  
====================================================================== 
C'est fini ! Prévoir au total environ 45 minutes. 
On déclenche un reboot pour démarrer en conditions normales. 
J'avais prévu une machine avec 1536 Mo de mémoire, j'ai bien fait car " top " me montre : 
Mem:   1556276k total,   674824k used,   881452k free,     8816k buffers 
Swap:  1943856k total,        0k used,  1943856k free,   156356k cached 
 

L'installation est faite, la machine a redémarré, admirons un peu le résultat.Permière constation : il y a plein de ports utilisés ( lsof -Pn | grep TCP ): 25, 80, 110, 143, 389, 993, 3310, 5222, 5223, 7110, 7143, 7777, 7780, 10024 et j'en oublie ...  
Cela va être un peu coton de s'y retrouver. 
Le port 80 donne accès au WebMail, dont voici un premier aperçu :

Le port 7071 (en https) donne accès à l'interface d'administration dont voici un aperçu :

 

 

 

 

 

 

Le menu d'administration se présente de la façon suivante :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sont présentés ici :

• La gestion des comptes
• La gestion des Alias
• La gestion des listes de diffusion
• La gestion des classes de service, elle permet de créer des standards à appliquer aux utilisateurs (notion de "groupes") qui simplifie la gestion des utilisateurs.
• La dernière partie présente des vues spécifiques des comptes ouverts. 
  En bref c'est très complet mais il y a pas mal de boulot avant de savoir se servir correctement de toutes les fonctions présentes.
• La création de multiples "domaines" virtuels, le serveur est ainsi capable de servir plusieurs domaines différents

D'autres éléments que je n'ai pas encore eu le temps d'apprécier : 
les Zimlets, les extensions d'administration. 
Le menu "Paramètres Globaux" permet de régler finement un grand nombre d'options des différents logiciels, par exemple les paramètres de Postfix. 
L'état du serveur présente la liste de l'état des différents services. 
De même le serveur maintient des statistiques d'usage (CPU, IO, nombre de mails, nombre de spam, nombre de virus détectés .... 
Les Outils permettent de surveiller l'état des files d'attente, de paramétrer la recherche d'updates, la gestion de certificats ....

Passons un peu maintenant à l'utilisation coté clients, pour ces quelques tests j'ai connecté les clients suivants :

• Windows XP : Thunderbird3
• Windows XP : Outlook Express
• Linux : Evolution

Un petit inconvénient d'utiliser un certificat "bidon" comme le certificat créé automatiquement lors de l'installation est l'apparition de messages signalant ce fait. Cette ennui est particulièrement gênant pour Outlook Express qui ne se contente pas de se plaindre la première fois mais ouvre une boite d'alerte à chaque démarrage. 

Paramètres pour Thunderbird 3 sous Windows XP :

Le port 110 par défaut convient très bien. 
Zimbra est configuré en standard pour une liaison sécurisée, il faut utiliser le paramètre "STARTTLS". 
Il ne faut pas oublier lors de la création du compte de choisir les options de connexion avec authentification pour le client POP comme pour le serveur SMTP. 
En principe cela marche directement et sans ennuis.

Paramètres pour Outlook Express sous Windows XP :

Il faut absolument cliquer les paramètres de sécurité "SSL" dans l'onglet "Avancé".

Paramètres pour Evolution sous Linux :

Là aussi c'est très simple. 
N'ayant pas d'autre client mail à disposition j'arrêterais les exemples de paramétrage des clients ici.

Note 2022 : je suis passé directement de Ubuntu 14.04 sur 20.04, mais c'est aussi pénible que le changement de machine, il faut tout installer puis transporter les comptes et leur contenu, c'est assez long ....

J'utilise maintenant Zimbra depuis quelques années et j'ai donc du "upgrader" régulièrement pour rester dans la course.

• Premier upgrade en 32 bits vers la version 6.0.7. 
  Avant le passage de 32 à 64 bits (en 8.6) j'ai "loupé" la migration vers la version 7.
• Premier upgrade en 64bits : 8.6 à 8.7
• De 8.7 à 8.7.5
• De 8.7.5 à 8.8.5
• De 8.8.5 à 8.8.6

La dernière version est installée sur une Ubuntu 14.04 LTS, mais cette release ne sera plus maintenue après Avril 2019 message :  
Your Hardware Enablement Stack (HWE) is supported until April 2019 
et j'ai quelques soucis avec la version actuelle qui "plante" deux ou trois fois par jour ! 
J'ai du créer un script qui test la présence des ports TCP (25, 389, 465, 587, 993, 995) nécessaires à une activité normale et relance le truc si l'un de ces ports est inaccessible. 
Je suis en train de tester la version 8.8.11 sur une Ubuntu 16.04 qui, elle, sera maintenue jusqu'en 2021. Les tests sont terminés et ça marche. 
Remarque 1 : C'est dommage qu'une version de Zimbra pour Ubuntu 18.04 ne soit pas (pas encore disponible) et la version actuelle ne s'installe pas sur une 18.04. 
Remarque 2 : ne faites surtout pas un "do-release-upgrade" sur votre système 14.04, j'ai essayé et l'opération commence par "virer" Zimbra ! Heureusement que j'avais sauvegardé avant de tenter l'opération !

C'est tout pour le moment !

L'installation dans une Machine virtuelle (ici KVM) n'est pas une opération horriblement complexe, voir les articles sur KVM. 
Note août 2016 : un changement de machine physique a été réalisé simplement à l'aide de ce brave "dd" en copiant la partition de la machine d'origine vers une partition de même taille sur le nouveau serveur (core I5 série 5 au lieu d'un core i3 série 4). Le redémarrage a été instantané !

Note août 2021 : Encore un changement de machine physique, toujours avec "dd" suivi d'une ré-installation sur un Ubuntu un peu plus "à jour" 20.04 LTS sur un AMD Ryzen 5 3600 avec Debian 11.2 et reprise des données des comptes. 

Zimbra ne distribue plus de versions "Debianisées" et dans ce domaine se limite à Ubuntu, j'ai donc choisi une Ubuntu 14.04 LTS qui devrait me permettre quelques années de tranquillité. 
La Machine Virtuelle est créée sur un environnement Debian 8 soigneusement maintenu à jour (aujourd'hui en 8.5) et qui dispose de : 
CPU : Core I3 4130 à 3.4 Ghz (Core I5 à 3.4Ghz) 
RAM : 16Go 
Disques : deux disques d'environ 2To montés en RAID logiciel (miroir).

La machine virtuelle crée pour l'occasion dispose de : 
Une partition LVM de 68Go formatée comme suit : 
Périphérique Amorçage  Début         Fin      Blocs    Id. Système 
/dev/vda1   *   133218304   134215679      498688   83  Linux 
/dev/vda2            2048   117186559    58592256   83  Linux 
/dev/vda3       117186560   127672319     5242880   83  Linux 
/dev/vda4       127672320   133218303     2772992   82  partition d'échange Linux / Solaris

La partition "/dev/vda3" est gardée "en réserve" et n'est pas utilisée. 
Au niveau "machine"  1 CPU et 2560 Mo de mémoire. 
L'installation de Ubuntu 14.04 n'est pas détaillée ici, on n'installe que le minimum pour un serveur, tout le reste "vient" avec Zimbra. J'ai choisi la version 8.6, dernière version existante lors de l'installation.

J'ai créé "à la main" le user "zimbra" avec un répertoire home au "standard Zimbra" fixé à "/opt/zimbra" : 
chown root:zimbra /opt/zimbra 
chmod 775 /opt/zimbra

Cette installation est identique à celle réalisée directement sur un serveur sans KVM. 
Pré-requis : 
apt-get install pax sysstat sqlite3 unzip libperl5.18

Après décompression de l'archive du jour : 
"https://files.zimbra.com/downloads/8.6.0_GA/zcs-8.6.0_GA_1153.UBUNTU14_64.20141…" 
dans un répertoire tranquille on entre dans le vif du sujet. 
On se connecte en "root" dans le répertoire et on lance "install.sh" (Le listing est assez long mais comporte des éléments intéressants qui peuvent servir de référence) :

Operations logged to /tmp/install.log.26898  Checking for existing installation...      zimbra-ldap...NOT FOUND      zimbra-logger...NOT FOUND      zimbra-mta...NOT FOUND      zimbra-dnscache...NOT FOUND      zimbra-snmp...NOT FOUND      zimbra-store...NOT FOUND      zimbra-apache...NOT FOUND      zimbra-spell...NOT FOUND      zimbra-convertd...NOT FOUND      zimbra-memcached...NOT FOUND      zimbra-proxy...NOT FOUND      zimbra-archiving...NOT FOUND      zimbra-core...NOT FOUND PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE.  ZIMBRA, INC. ("ZIMBRA") WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU  FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING  THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY  THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS  AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.  License Terms for the Zimbra Collaboration Suite:    http://www.zimbra.com/license/zimbra-public-eula-2-5.html Do you agree with the terms of the software license agreement? [N] On réponds bien sûr "Yes" (en français dans le texte) ! Checking for prerequisites...       FOUND: NPTL       FOUND: netcat-openbsd-1.105-7ubuntu1       FOUND: sudo-1.8.9p5-1ubuntu1.1       FOUND: libidn11-1.28-1ubuntu2       FOUND: libpcre3-1:8.31-2ubuntu2       FOUND: libgmp10-2:5.1.3+dfsg-1ubuntu1       FOUND: libexpat1-2.1.0-4ubuntu1       FOUND: libstdc++6-4.8.2-19ubuntu1       FOUND: libperl5.18-5.18.2-2ubuntu1       FOUND: libaio1-0.3.109-4       FOUND: resolvconf-1.69ubuntu1.1       FOUND: unzip-6.0-9ubuntu1.3 Checking for suggested prerequisites...       FOUND: pax       FOUND: perl-5.18.2       FOUND: sysstat       FOUND: sqlite3  Prerequisite check complete. Checking for installable packages Found zimbra-core  Found zimbra-ldap  Found zimbra-logger  Found zimbra-mta  Found zimbra-dnscache  Found zimbra-snmp  Found zimbra-store  Found zimbra-apache  Found zimbra-spell  Found zimbra-memcached  Found zimbra-proxy  Select the packages to install  Install zimbra-ldap [Y] Y  Install zimbra-logger [Y] Y  Install zimbra-mta [Y] Y  Install zimbra-dnscache [Y] N       (Bind9 est déjà installé)  Install zimbra-snmp [Y] Y  Install zimbra-store [Y] Y  Install zimbra-apache [Y] Y  Install zimbra-spell [Y] Y  Install zimbra-memcached [Y] N       (pas un "gros" site mail)  Install zimbra-proxy [Y] N           (VM isolée )  Checking required space for zimbra-core  Checking space for zimbra-store  Checking required packages for zimbra-store  zimbra-store package check complete. Installing:      zimbra-core      zimbra-ldap      zimbra-logger      zimbra-mta      zimbra-snmp      zimbra-store      zimbra-apache      zimbra-spell The system will be modified.  Continue? [N]  Y  On réponds bien sûr "Yes"      zimbra-core......zimbra-core_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-ldap......zimbra-ldap_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-logger......zimbra-logger_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-mta......zimbra-mta_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-snmp......zimbra-snmp_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-store......zimbra-store_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-apache......zimbra-apache_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done      zimbra-spell......zimbra-spell_8.6.0.GA.1153.UBUNTU14.64_amd64.deb...done  Operations logged to /tmp/zmsetup06102015-144332.log  Installing LDAP configuration database...done.  Setting defaults... DNS ERROR resolving MX for mon-serveur.xxxx  It is suggested that the domain name have an MX record configured in DNS  Change domain name? [Yes]    C'est une machine provisoire, ici je réponds "No" pour ne pas contrarier la machine de production. Checking for port conflicts  Main menu     1) Common Configuration:                                                      2) zimbra-ldap:                             Enabled                          3) zimbra-logger:                           Enabled                          4) zimbra-mta:                              Enabled                          5) zimbra-snmp:                             Enabled                            6) zimbra-store:                            Enabled                               +Create Admin User:                    yes                                    +Admin user to create:                 admin@mon-serveur.xxxx            ******* +Admin Password                        UNSET                                 +Anti-virus quarantine user:           virus-quarantine.gw4z3h_p@mon-serveur.xxxx          +Enable automated spam training:       yes                                   +Spam training user:                   spam.mfa5p1m9eb@mon-serveur.xxxx          +Non-spam(Ham) training user:          ham.j7vinxgs@mon-serveur.xxxx             +SMTP host:                            mon-serveur.xxxx                          +Web server HTTP port:                 80                                   +Web server HTTPS port:         443                                   +Web server mode:          https                                 +IMAP server port:         143                                   +IMAP server SSL port:     993                                   +POP server port:          110                                   +POP server SSL port:      995                                   +Use spell check server:   yes                                   +Spell server URL:                     http://mon-serveur.xxxx:7780/aspell.php  +Configure for use with mail proxy:    FALSE                                 +Configure for use with web proxy:     FALSE                                 +Enable version update checks:         TRUE                                  +Enable version update notifications:  TRUE                                   +Version update notification email:    admin@mon-serveur.xxxx            +Version update source email:          admin@mon-serveur.xxxx            +Install mailstore (service webapp):   yes                                   +Install UI (zimbra,zimbraAdmin webapps): yes                              7) zimbra-spell:                            Enabled                           8) Default Class of Service Configuration:                                     s) Save config to file                                                      x) Expand menu                                                                 q) Quit                           La seule chose importante qui reste à faire est de fixer un mot de passe administrateur et de changer le nom du compte d'administration. *** CONFIGURATION COMPLETE - press 'a' to apply  Select from menu, or press 'a' to apply config (? - help) a  Save configuration data to a file? [Yes] Yes  Save config in file: [/opt/zimbra/config.2021]  The system will be modified - continue? [No]  On n'est pas ici pour annuller --> "Yes"  Operations logged to /tmp/zmsetup06102015-144332.log  Setting local config values...done.  Initializing core config...Setting up CA...done.  Deploying CA to /opt/zimbra/conf/ca ...done.  Creating SSL zimbra-store certificate...done.  Creating new zimbra-ldap SSL certificate...done.  Creating new zimbra-mta SSL certificate...  Installing mailboxd SSL certificates...done.  Installing MTA SSL certificates...done.  Installing LDAP SSL certificate...done.  Initializing ldap...  Setting replication password...done.  Setting Postfix password...done.  Setting amavis password...done.  Setting nginx password...done.  Setting BES searcher  password...done.  Creating server entry for mon-serveur.xxxx...  Setting replication password...done.  Setting Postfix password...done.  Setting amavis password...done.  Setting nginx password...done.  Setting BES searcher  password...done.  Creating server entry for mon-serveur.xxxx...  Creating server entry for mon-serveur.xxxx...done.  Setting Zimbra IP Mode...done.  Saving CA in ldap ...done.  Saving SSL Certificate in ldap ...done.  Setting spell check URL...done.  Setting service ports on mon-serveur.xxxx...done.  Setting zimbraFeatureTasksEnabled=TRUE...done.  Setting zimbraFeatureBriefcasesEnabled=TRUE...done.  Setting TimeZone Preference...done.  Initializing mta config...done.  Setting services on mon-serveur.xxxx...done.  Adding mon-serveur.xxxx to zimbraMailHostPool in default COS...done.  Creating domain mon-serveur.xxxx...done.  Setting default domain name...done.  Creating domain mon-serveur.xxxx...already exists.  Creating admin account mon_admin@mon-serveur.xxxx...done.  Creating root alias...done.  Creating postmaster alias...done.  Creating user spam.mfa5p1m9eb@mon-serveur.xxxx...done  Creating user ham.j7vinxgs@mon-serveur.xxxx...done.  Creating user virus-quarantine.gw4z3h_p@mon-serveur.xxxx...done.  Setting spam training and Anti-virus quarantine accounts...done.  Initializing store sql database...  Setting zimbraSmtpHostname for mon-serveur.xxxx...done.  Configuring SNMP...done.  Setting up syslog.conf...done.  Starting servers...done.  Installing common zimlets...      com_zimbra_mailarchive...done.      com_zimbra_adminversioncheck...done.      com_zimbra_attachmail...done.      com_zimbra_webex...done.      com_zimbra_srchhighlighter...done.      com_zimbra_phone...done.      com_zimbra_bulkprovision...done.      com_zimbra_clientuploader...done.      com_zimbra_ymemoticons...done.      com_zimbra_attachcontacts...done.      com_zimbra_url...done.      com_zimbra_date...done.      com_zimbra_proxy_config...done.      com_zimbra_viewmail...done      com_zimbra_email...done.      com_zimbra_tooltip...done.      com_zimbra_cert_manager...done.  Finished installing common zimlets.  Restarting mailboxd...done.  Creating galsync account for default domain...  You have the option of notifying Zimbra of your installation.  This helps us to track the uptake of the Zimbra Collaboration Server.  The only information that will be transmitted is:      The VERSION of zcs installed (8.6.0_GA_1153_UBUNTU14_64)      The ADMIN EMAIL ADDRESS created (le_bel_admin@mon-serveur.xxxx) Notify Zimbra of your installation? [Yes]  Ici je réponds "No" car ce n'est qu'une installation de test.  Notification skipped  Setting up zimbra crontab...done.  Moving /tmp/zmsetup06102015-144332.log to /opt/zimbra/log  Configuration complete - press return to exit

Maintenant installer le patch fourni "https://files.zimbra.com/downloads/8.6.0_GA/zcs-patch-8.6.0_GA_1169.tgz". 
On le décompresse dans un coin tranquille et on entre dans le répertoire (en "root" bien sûr) où on découvre le fichier "installPatch.sh" que l'on s'empresse de lancer : et il liste plein de choses ... et se termine rapidement. 
Maintenant limiter la taille de la base "ldap" pour ne pas avoir de surprise lors de copies (rappel, ce serveur ne traite pas des millions de messages et la taille de 80Gb (sparse file heureusement)est un peu élevée). 
Cette commande se lance sous le user "zimbra" : 
La taille "standard" est de 80GB ici 1GB suffira 
zmlocalconfig -e ldap_db_maxsize=1073741824 
Cela permet de copier l'ensemble du répertoire sans trop de problèmes pour sauvegarde. 
Il faut sinon passer par "mdb_copy" ou "zmslapcat", solutions recommandées par Zimbra.

Il est ensuite de bon ton de redémarrer la machine pour vérifier que tout se passe correctement. 
Ca reboote en douceur, on peut alors commencer à paramétrer notre serveur de mails.

Pour le paramétrage j'ai repris celui de la machine existante, recréé les users "à la main", heureusement la famille ne comporte pas des dizaines de personnes) et exporté puis ré-importé le contenu de tous les users (un par un en version "open") à l'aide de la fonction dédiée que l'on trouve dans l'interface WEB : "Préférences/Importer,exporter". Le seul inconvénient est la nécessité de fonctionner compte par compte pour la version Opensource.

Après avoir :

• Stoppé l'ancien système
• Modifié le DNS
• Installé quelques règles "iptables" sur la machine physique pour rediriger les entrées vers la bonne adresse, télécharger le script "iptables" utilisé.

Note : en juin 2016 après plus de 6 mois cela fonctionne très bien. 
Re note : en novembre 2016, après le changement de serveur physique, upgrade système et recopie du disque de la machine virtuelle cela fonctionne toujours très bien. 
Note : Juillet 2017 les machines virtuelles sont installées sur de bons gros SSD de 512GO, et, là aussi recopie du disque de la machine virtuelle. Fonctionnement impeccable et, bien sûr, plus rapide.

Voir en fin de page pour le téléchargement ds scripts "correcteurs" qui fonctionnent très bien sur la nouvelle VM en Ubuntu 20.04.

Mon installation de Zimbra est assez ancienne sur une Ubunto 16.04 LTS, mais maintenue régulièrement à jour avec le repository de Zimbra dans mon /etc/apt/sources.list.z/zimbra.list qui content : 
deb     [arch=amd64] https://repo.zimbra.com/apt/87 xenial zimbra 
deb     [arch=amd64] https://repo.zimbra.com/apt/8815 xenial zimbra 
deb-src [arch=amd64] https://repo.zimbra.com/apt/87 xenial zimbra 
Lors de la dernière mise à jour apt m'a proposé d'installer un paquet (...) pour bénéficier des mises à jour étendues (livepatch) de ma version 16.04 LTS. 
Après m'être inscrit sur le site de Canonical (gratuit jusqu'à 3 machines) j'ai installé la clef fournie et relancé une mise à jour qui m'a proposé plus de 100 paquets à mettre à jour, ce que je me suis empressé de lancer. 
A la suite de cette installation je reçois de Zimbra une multitude de messages signalant des disques pleins à 100%. Ces disques sont respectivement /dev/loop0 et /dev/loop1 sur lesquels sont montés (cf snap) les répertoires nécessaires à "livepatch". 
J'ai ainsi reçu plus de 800 messages en deux jours me signalant ces disques "pleins". 
Or c'est parfaitement normal que ces "disques" soient à 100%, c'est le fonctionnement normal de "snap",il faut donc inhiber la procédure "Zimbra" qui génère ces alertes. 
On dirait que les auteurs de Zimbra ont prévu le coup car il est possible très simplement de mettre à jour le paramètre "zmstat_df_exclude" qui doit régler ce problème. 

1) Voyons voir le paramètre "ad hoc" 
zmlocalconfig | grep zmstat_df_excludes 
qui renvoie 
zmstat_df_excludes = 
soit : aucune exclusion enregistrée. 

1) commencer par établir la liste de ces devices "loop..." 
df | grep loop 
/dev/loop0        101888   101888         0 100% /snap/core/11993 
/dev/loop1          9344     9344         0 100% /snap/canonical-livepatch/119 

Ensuite lancer la commande suivante (user "zimbra") : 
zmlocalconfig -e zmstat_df_excludes="/dev/loop0:/dev/loop1" 
Bien utiliser ":" comme séparateur. 
Et le tour est joué, plus de messages inutiles et ennuyeux, tout en gardant les alertes pour les autres systèmes de fichiers. 

Pour vérifier : 
zmlocalconfig | grep zmstat_df_excludes 
qui, maintenant renvoie : 
zmstat_df_excludes = /dev/loop0:/dev/loop1 
ce qui semble parfait et d'ailleurs je n'ai pas reçu d'autres messages au sujet de ces deux "disques". 
Note : il faut surveiller l'apparition de nouveaux "/dev/loopN" et les ajouter illico à la liste. 

J'ai eu la surprise, quelques jours après de recevoir une salve de mail pour un nouveau "livepatch" qui m'a créé un nouveau "loop" : 
/dev/loop2              9344     9344          0 100% /snap/canonical-livepatch/126 

J'ai donc du l'ajouter avec (en user "zimbra") : 
zmlocalconfig -e zmstat_df_excludes="/dev/loop0:/dev/loop1:/dev/loop2"

A vérifier immédiatement par : 
zmlocalconfig | grep zmstat_df_excludes 
zmstat_df_excludes = /dev/loop0:/dev/loop1:/dev/loop2 

.... A surveiller après chaque mise à jour ... Mais que fait-on après 20 mises à jour, a-t-on 21 /dev/loopNN ?

Suite à un problème de gestion de certificat j'ai monté une nouvelle machine virtuelle en Ubuntu 20.04, évidemment elle "souffrait" du même problème que la précédente ... mais, rien n'y fait, même en appliquant cette méthode cette fichue machine m'inonde de mails signalant que le disque /dev/snapxx est à 100%. 
C'est toutes les 10 minutes et il y a actuellement 13 "disques" snap. J'ai signalé cette anomalie sans avoir de réponse pour le moment ... 
Dernières nouvelles : après quelques jours la configuration des "df_exclude" est enfin active et je n'ai plus des centaines/milliers de mails intempestifs ... Mais pourquoi cela a mis plusieurs jours pour s'activer reste un mystère. 
En fait il semble qu'il faille effectuer un restart complet de zimbra pour que la nouvelle configuration soit activée. 
Note 2022 
Je suis depuis "passé" sur Ubuntu 20.04 LTS puisque le 16.04 est tombé hors "LTS". 
Mais le résultat est le même, zimbra s'entête à me déclarer tous les disques /dev/snap/... (nom du "répertoire" où sont montés les /dev/loopNN au nombre de 14 à ce jour. 
J'utilise deux petits scripts qui :

• RECUP_LOOP    récupère les "loop" et les répertoires associés sous forme de liste et appelle le script suivant, télécharger.
• SNAP_EXCLUDE qui met en forme les données et lance l'exécution de la commande zimbra "zmlocalconfig" avec la liste des "loop" et répertoires transmise par le premier script, télécharger.

J'ai mis dans la crontab l'exécution de RECUP_LOOP tous les soirs.

Ce petit groupe d'articles traite essentiellement du paramétrage de certaines actions spécifiques et d'autres détails comme l'utilisation d'un téléphone.

Cet article ne représente qu'un démarrage minimum avec ce produit dont les domaines d'applications sont très divers car il permet de tester un logiciel avec divers browser (Chrome, Firefox, Opera, Safari, Internet Explorer) sur divers systèmes d'exploitation (Linux, MacOs, diverses saveurs de Windows). 
Ici, tests faits sur un portable sous Linux, cela se réduit à l'IDE et deux browser sous Linux : Chromium (Chrome a refusé de fonctionner avec la version du driver dont je dispose) et Iceweasel (Firefox). 
Des "bindings" existent pour plusieurs langages ; Ruby, Python et bien sûr Java.Je n'ai testé ici que l'interface pour Python. Une version de Java 1.7, (JRE) convient parfaitement.

Depuis le site "seleniumhq.org" :

• Charger le module Selenium IDE comme ADDON Mozilla (version testée 2.9.0)
• Charger le "standalone server" (version testée 2.46)
• Charger les drivers Python : Lancer l'installaton (en root !) : 
  pip install -U selenium
• Chrome driver (32 bits Linux), charger la dernière version (ici la 2.16) :http://chromedriver.storage.googleapis.com/2.16/chromedriver_linux32.zip (ou linux64). Cette version est numerotée "v2.9.248316" à l'éxécution ???

J'ai ensuite installé tout ça dans un répertoire "Selenium" pour bien l'isoler. 
J'ai ajouté un répertoire "Config" et un répertoire "Tests". Le répertoire "Config" contient les deux fichiers de configuration (format json) pour le "Hub" et un pour le "Node".  
Ici je ne lance qu'un seul node et sur la même machine ( portable i386 avec 4G de mémoire très convenable pour les vacances !) Selenium fonctionne avec au moins deux processes (tout est dans la stand-alone-server) : 
Le "Hub" reçoit les demandes d'exécution et les transmet au "Node" (ou à un parmi les Nodes déclarés) qui dispose du pseudo-browsers demandés. Ici nous disposons d'un driver Firefox (standard du paquet) et d'un driver "chrome". Petite remarque : le driver "chrome" ne fonctionne pas avec les versions de "google-chrome" que j'ai testées mais parfaitement avec la version "chromium" fournie par Debian. 
J'ai aussi effectué quelques tests avec Opera mais sans succès pour le moment, pas de machine Windows dispo donc pas de tests Internet Explorer.

L'IDE Selenium est accessible dans le menu "Outils" de Firefox (ici IceWeasel) ou par le raccourci "Ctrl+Alt+s". 
L'enregistrement est facile et sans problèmes depuis Firefox, on peut le rejouer immédiatement pour vérifier.

Pour un premier test se "balader" un peu sur un site (j'ai utilisé un site local de test), valider ensuite le test et le sauvegarder en format "natif" puis le sauvegarder en format "Python" dans un fichier "xxxxxxxx.py".

Pour éxecuter un test créé par l'IDE : 
l'exporter en mode "python 2 unittest webdriver" sour le nom "test_remote.py" et lancer la commande : 
python test_remote.py 
Une fenêtre Firefox s'ouvre et le test s'y éxécute.

Pour exécuter les tests en mode "Webdriver" et lancer plusieurs tests simultanément in faut créer un "Hub" et au moins un "Node". 
Sauvegarde le test au format Python ( ici "Python2 unittest webdriver"). 
Le lancement ouvrira une fenêtre Firefox (par défaut) et on verra défiler les pages du test. Pour utiliser Chromium il suffit de modifier très légèrement le script. 
Partie du script généré pour Firefox :

class TEST03(unittest.TestCase):      def setUp(self):          self.driver = webdriver.Remote(desired_capabilities={              "browserName": "firefox",              "platform": "LINUX", });  Après modification pour Chromium :  class TEST03(unittest.TestCase):      def setUp(self):          self.driver = webdriver.Remote(desired_capabilities={              "browserName": "chrome",              "platform": "LINUX", });

Cette méthode permet de vérifier rapidement le script. 

Deux scripts hyper simples et deux fichiers de configuration permettent de lancer le "Hub" et un "Node". Le script de lancement d'un "Node" peut être lancé sur plusieurs machines avec la modification de l'adresse du "Hub" dans son fichier de configuration.

Lors des tests j'ai remarqué une consommation CPU assez importante et mon brave portable ne peut guère supporter deux browser en concurrence (Un Chromium et un Firefox) en plus du serveur Web dans sa machine virtuelle KVM sans commencer à montrer des signes d'épuisement. Avec trois browsers le ralentissement est notable dans ce petit portable qui date de 2009 (voir l'article de présentation de cette machine SSDisée). 
 

Le script de lancement du Hub :

#!/bin/bash  OPTIONS=' -hubConfig ./Config/HubConfig.json  '  java -jar selenium-server-standalone-2.46.0.jar -role hub  $OPTIONS

Et son fichier de configuration :

{    "host": "127.0.0.1",    "port": 4444,    "newSessionWaitTimeout": -1,    "servlets" : [],    "prioritizer": null,    "capabilityMatcher": "org.openqa.grid.internal.utils.DefaultCapabilityMatcher",    "throwOnCapabilityNotPresent": true,    "nodePolling": 5000,    "cleanUpCycle": 5000,    "timeout": 300000,    "browserTimeout": 0,    "maxSession": 5,    "jettyMaxThreads":-1  }

Le script de lancement d'un Node :

#!/bin/bash  PATH=./:$PATH  export PATH  export SELENIUM_SERVER_JAR=$(pwd)  OPTIONS='  -nodeConfig ./Config/NodeConfig.json '  java -jar selenium-server.jar -role node  $OPTIONS

Et son fichier de config :

{    "capabilities":        [          { "browserName": "*firefox",            "maxInstances": 5,            "seleniumProtocol": "Selenium"          },          { "browserName": "*googlechrome",            "maxInstances": 5,            "seleniumProtocol": "Selenium"          },          { "browserName": "*iexplore",            "maxInstances": 1,            "seleniumProtocol": "Selenium"          },          { "browserName": "firefox",            "maxInstances": 5,            "seleniumProtocol": "WebDriver"          },          { "browserName": "chrome",            "maxInstances": 5,            "seleniumProtocol": "WebDriver"          },          { "browserName": "internet explorer",            "maxInstances": 1,            "seleniumProtocol": "WebDriver"          }        ],    "configuration":    { "proxy": "org.openqa.grid.selenium.proxy.DefaultRemoteProxy",      "maxSession": 5,      "port": 5555,      "host": "127.0.0.1",      "register": true,      "registerCycle": 5000,      "hubPort": 4444,      "hubHost": "127.0.0.1"    }  }

Squid est un proxy-cache parmi les plus connus, l'avantage d'un cache n'est plus à démontrer et tous les browsers en intègrent un. Mais sur un réseau comportant plusieurs machines accédant à Internet il peut être intéressant de disposer d'un cache centralisé qui dimunuera le débit Internet nécessaire et améliorera la vitesse d'affichage. 
Ce proxy peut être installé sur une machine "tête" de réseau qui seule gère l'accès vers Internet. Cette machine peut (doit ?) aussi servir de Firewall commun. 
Une autre fonction d'un proxy est le filtrage et Squid est, bien sûr, muni de possibilités dans ce domaine. La plupart des proxies nécessitent un réglage spécifique des navigateurs en utilisant un port spécifique, en général le 3128. Si le filtrage de Squid est efficace il est donc dans ce cas facile de le contourner en désactivant le cache dans son browser. 
Une autre méthode est d'utiliser un cache "transparent" et d'y rediriger les requêtes sortantes à destination du port 80. Une simple règle iptables permet d'effectuer la redirection de tout ce qui veut sortir vers un port 80 en provenance su réseau "SOURCE" vers le port 3128 standard de SQUID (Note 2016: on peut agir de même en SSL/TLS avec les versions récentes de Squid) :

PATH=/sbin:$PATH  IFINT=eth0             #   SOURCE="192.168.1.0/24"  PORTS=3128  PORTE=80  #   iptables -t nat -A PREROUTING -i $IFINT -s $SOURCE -p tcp --dport $PORTE  -j REDIRECT --to-port $PORTS

Il faudra ajouter la directive "http_port 3128 transparent" dans le paramétrage de SQUID. 
Le filtrage sera réalisé par des "ACL" (Access Control List) et des "http_access deny/allow". Afin que le filtrage soit plus "transparent" un pseudo fichier (une image png de un seul point, transparent lui aussi) sera renvoyé à la place de la demande filtrée ce qui évite de polluer les écrans par des messages intempestifs. 

Fichier de paramétrage SQUID partie "générique"  :

http_port 3128 transparent  hosts_file /etc/hosts  # Controles standard  # ------------------  acl Safe_ports port 80  acl all src 0.0.0.0/0.0.0.0  acl manager proto cache_object  acl localhost src 127.0.0.1/255.255.255.255  acl to_localhost dst 127.0.0.0/8  acl purge method PURGE  acl CONNECT method CONNECT  http_access allow manager localhost  http_access deny manager  http_access allow purge localhost  http_access deny purge  http_access deny !Safe_ports

Nous arrivons ensuite à notre section de filtrage, le fameux "ACL" est effectué par une recherche dans un fichier externe, simple fichier texte (à mettre à jour manuellement, on peut trouver de tels fichiers sur Internet). Le type de règle utilisé "dstdom_regex", il suffit alors que le fichier contienne une URL (ou une partie d'URL) pour que la condition soit remplie.

acl mespub      dstdom_regex "/etc/squid/mespub.txt"  deny_info file:///etc/squid/deny.png mespub  http_access deny mespub

Si le fichier "mespub.txt" contient une ligne ".sexe.com" tous les sites dont le nom se termine par "sexe.com" seront invisibles. Ce fichier peut aussi contenir des adresses IP car souvent les sites d'images publicitaires n'ont pas de nom de domaine mais seulement une IP. 
Le fichier paramètre contient à la fin quelques variables "techniques" qu'il est intéressant de conserver (et d'adapter) :

# Filtrage selon reseau d'origine  acl reso0 src 10.0.1.0/24  acl reso1 src 127.0.0.1  acl reso2 src 192.168.1.0/24  http_access allow reso0  http_access allow reso1  http_access allow reso2  http_access allow localhost  http_access deny all  http_reply_access allow all  #  # Constantes diverses  #  icp_access allow all  visible_hostname mon_host_name  memory_pools_limit 1 MB  access_log     /var/log/squid/access.log squid  error_directory /usr/share/squid/errors/French  coredump_dir     /var/spool/squid

Une aide importante à l'utilisation du filtrage est constituée du paquet "sarg" qui permet d'extraire des statistiques d'accès des fichiers de log de SQUID. 
Pour Debian l'installation est immédiate et créée automatiquement les crontabs qui vont bien (journalière, hebdomadaire et mensuelle). 
Pour la partie journalière il vaut mieux "coupler" l'exécution du script avec la purge des fichiers "SQUID" effectuée par "logrotate" en effectuant le calcul des statistiques juste avant la rotation des logs, ajouter un traitement "prerotate" lançant "/usr/sbin/sarg-reports daily" et supprimer le script présent dans "/etc/cron.daily". 
Le résultat est directement consultable sur le serveur en http (il faut évidement avoir Apache sur le serveur SQUID), par défaut tout est installé (Debian) dans /var/www/sarg_reports :

 

Le champ "FICHIER/PERIODE" est cliquable et amène sur une page statistique par adresse IP d'origine: 
 
Les adresses sont cliquables et amènent sur le détail complet des sites HTTP consultés ce jour par cette adresse IP : 
 

C'est un peu indiscret, mais utile pour les mises à jour du fichier texte de filtrage ... noter la mention "REFUSE" sur les sites "bloqués". 
 

 
Note avril 2020 : Squid (version  4.9-20200102) est toujours actif et j'ajoute régulièrement quelques données dans les fichiers de filtrage pour définir quelques origines gênantes et je récupère toutes les semaines les informations sur les serveurs de pub depuis https://pgl.yoyo.org

Note juin 2018 : j'utilise toujours Squid (version 4.0.25) sur mon système frontal ce qui permet de bloquer certains sites de pub un peu trop intrusifs et aussi d'accélérer l'affichage. Pour voir le principe des "ACL" et quelques exemples aller ici.

Note septembre 2017, en cas d'ennui de compilation vérifier l'installation de : 
libssl-dev et libcrypto++-dev 
apt-get install libssl-dev libcrypto++-dev 

La version qui "tourne" actuellement est la version 3.5.19-20160618-r14061. Je recompile une nouvelle version de temps en temps, quelques "trucs" que j'utilise sont décrits en annexe. 
Surtout ne pas oublier d'installer votre certificat sur les postes client !

J'ai voulu essayer d'utiliser Squid3 en proxy SSL, mais malheureusement le binaire proposé par Debian est compilé sans l'option SSL. Pour persister dans mon idée il m'a fallu passer par les sources et je vous conte ci-après l'histoire correspondante. 
Cette opération a été réalisée sur une machine Debian 7.4, pour d'autres distributions les répertoires peuvent varier. 
Télécharger la dernière archive (pour moi : squid-3.5.02.tar.xz) et la décompresser dans un répertoire tranquille, j'utilise /usr/src/PGM/BUILD comme répertoire de base et ne touche pas à la disposition "classique des programmes locaux dans /usr/local/.... 
J'ai mis les options de configuration qui m'intéressent dans le petit script suivant :

#!/bin/bash  # A lancer dans le répertoire de "BUILD" au niveau "au dessus" de squid  # Mise à jour Aout 2016 pour SQUID 3.5 OPTIONS=' --with-default-user=squid '  # MAX FD  OPTIONS=${OPTIONS}' --with-filedescriptors=16384 '  # NO IPV6  OPTIONS=${OPTIONS}' --disable-ipv6 '  #    Enable SSL  OPTIONS=${OPTIONS}' --enable-ssl --enable-ssl-crtd --enable-inline '  # SQUID 3.5  OPTIONS=${OPTIONS}' --with-openssl '  # transparent  OPTIONS=${OPTIONS}' --enable-linux-netfilter --enable-icmp --with-large-files '  OPTIONS=${OPTIONS}' --enable-icap-client --enable-useragent-log --enable-referer-log'  OPTIONS=${OPTIONS}' --disable-poll --enable-epoll --disable-ident-lookups  '  OPTIONS=${OPTIONS}' --enable-async-io=16 --enable-underscores --enable-carp'  OPTIONS=${OPTIONS}' --enable-storeio=aufs,diskd,rock '  OPTIONS=${OPTIONS}' --enable-htpc '  OPTIONS=${OPTIONS}' --enable-err-language=fr '  OPTIONS=${OPTIONS}' --enable-http-violations ' cd squid-3.5        ./bootstrap.sh ./configure $OPTIONS 2>&1 | tee LOG.CONFIGURE make clean 2>&1 | tee LOG.CLEAN make 2>&1 | tee LOG.MAKE exit

Il ne reste plus qu'à vérifier les logs et lancer un "make install" (en root). 
Ainsi je pourrais compiler d'autres versions sans ennuis, du moins en principe. 
Après un essai de compilation "direct" j'ai eu des ennuis à la première exécution. Après recherche j'ai suivi la procédure conseillée (internet dixit) : lancer avant toute chose dans le répertoire de Squid la commande "./bootstrap.sh" qui configure elle même plein de trucs ... en résultat tout est OK (Le script ci-dessus vous évite ce genre d'ennui. 

Après ce petit baratin on lance le truc et on commence pas aller dans le répertoire de Squid et on lance la grande magie : 
./bootstrap.sh 

On lance le petit script de configuration créé précédemment. Puis le fatidique : 
make 2>&1 | tee MAKE.LOG 

La compilation est assez longue, presque autant que celle d'un noyau Linux! 
Ensuite on peut passer au "make install" en "root" bien sûr ! 
On reste "root" pour la suite, il faut, dans le répertoire par défaut (pour moi /usr/local/squid) :

 

• Créer un répertoire pour stocker le certificat racine de notre autorité 
  mkdir ssl_cert
• Créer un certificat 
  Voir le script joint
• Créer un repertoire "lib" dans  /usr/local/squid/var 
  mkdir lib
• initialiser le répertoire de cache des certificats créés 
  /usr/local/squid/libexec/ssl_crtd -c -s /usr/local/squid/var/lib/ssl_db

Note : Si le répertoire existe, tout le monde peut faire des erreurs ! Il faut le détruire avant de relancer la commande. Dans ce cas ne pas oublier : 
chown -R squid:squid /usr/local/squid/var/lib/ssl_db"

• Initialiser les pages de messages d'erreur dans /usr/local/squid/share/errors
• Créer un répertoire "fr" et un lien de "fr" vers "fr-fr"
• copier le répertoire "templates" dans "fr" et, pour bien faire traduire les pages !

cd /usr/local/squid/share/errors 
mkdir fr 
ln -s fr fr-fr 
cp ./templates/* ./fr

• Créer un user "squid" groupe "squid" sans droit de login
• Comme le user d'exécution prévu est "squid" faire un "chown -R squid:squid /usr/local/squid"

Pour la suite je considère que vous avez déjà un fichier de config qui fonctionne en HTTP classique avec les "acl" et filtres qui vous conviennent. Si ce n'est pas le cas commencer par ce point pour que le cache fonctionne selone vos désirs en HTTP. Pour tester configurez votre navigateur avec Squid comme proxy, dans ce cas otez l'option "transparent" de la configuration, vous la remettrez plus tard avant d'activer le système de redirection. 
Ajouter les paramètres adéquats dans le fichier de configuration "squid.conf" :

#  # Recommended minimum configuration:  #  shutdown_lifetime 5 seconds  # Example rule allowing access from your local networks.  # Adapt to list your (internal) IP networks from where browsing  # should be allowed  # ACLs all, manager, localhost, and to_localhost are predefined.  # acl localnet src 10.0.0.0/8    # RFC1918 possible internal network  # acl localnet src 172.16.0.0/12    # RFC1918 possible internal network  acl localnet src 192.168.2.0/24      acl localnet src 192.168.3.0/24  acl localnet src fc00::/7       # RFC 4193 local private network range  acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines  acl SSL_ports port 443  acl Safe_ports port 80        # http  acl Safe_ports port 81        # http  acl Safe_ports port 21        # ftp  acl Safe_ports port 443        # https  # acl Safe_ports port 70    # gopher  # acl Safe_ports port 210    # wais  acl Safe_ports port 1025-65535    # unregistered ports  acl Safe_ports port 280        # http-mgmt  # acl Safe_ports port 488    # gss-http  # acl Safe_ports port 591    # filemaker  # acl Safe_ports port 777    # multiling http  acl CONNECT method CONNECT  #  # Recommended minimum Access Permission configuration:  #  # Deny requests to certain unsafe ports  http_access deny !Safe_ports  # Deny CONNECT to other than secure SSL ports  http_access deny CONNECT !SSL_ports  # Only allow cachemgr access from localhost  http_access allow localhost manager  http_access deny manager  # We strongly recommend the following be uncommented to protect innocent  # web applications running on the proxy server who think the only  # one who can access services on "localhost" is a local user  http_access deny to_localhost #  #     Ajouter ici vos ACL  #    # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS  http_access allow localnet  http_access allow localhost  # And finally deny all other access to this proxy  http_access deny all    # Squid normally listens to port 3128  http_port 3128 transparent  # Squid listen Port Add "intercept" ou "transparent" pour proxy transparent  #     Squid pour redirection (Une seule ligne)  https_port 192.168.2.11:3129 intercept ssl-bump generate-host-certificates=on cert=/usr/local/squid/ssl_cert/xxxxxx.crt key=/usr/local/squid/ssl_cert/xxxxxx.private options=NO_SSLv2,NO_SSLv3  #  ## Disable ssl interception for dropbox.com and hotmail.com (and localhost)  acl no_ssl_interception dstdomain .dropbox.com .hotmail.com  ssl_bump none localhost  ssl_bump none no_ssl_interception     # SSL Bump Config  always_direct allow all  ssl_bump server-first all  sslproxy_cert_error allow all  sslproxy_flags DONT_VERIFY_PEER  sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB  sslcrtd_children 4 startup=2 idle=1  # Uncomment and adjust the following to add a disk cache directory.  cache_dir ufs /usr/local/squid/var/cache/squid 2048 32 256

Il faut alors mettre en place une redirection de ports des ports entrants 80 et 443 vers la machine "Squidifiée" sur les ports 3128 et 3129. 
Voir le script joint "Redirection iptables". 
Récupérer un script d'init (il n'y en a pas dans le paquet source) ou bien récupérez celui joint ici (repris de Debian avec quelques adaptations à "/usr/local/squid") puis lancer : 

service squid start 

Et c'est parti ... enfin presque il vous faut avant tout usage HTTPS aller installer votre fichier ".crt" dans le magasin de certificats des browsers du réseau. 
Sinon c'est le blocage assuré de tous les sites HTTPS ! 
C'est le seul inconvénient du proxy HTTPS, comme il doit signer les certificats qu'il vous envoie en lieu et place de ceux qu'il a négociés avec le site il faut qu'il dispose d'une autorité adéquate. Tous les navigateurs disposent de cette possibilité, mais c'est une contrainte importante. 
Pour "curl" et "wget" il faut copier votre certificat de CA dans /etc/ssl/certs, puis l'ajouter à la fin du fichier /etc/ssl/certs/ca-certificates.crt. 
A part cela c'est le  seul moyen de cacher efficacement les pages HTTPS.

Remarque :

Depuis la version du 2 juillet 2015 il est nécessaire d'effectuer une petite modif pour éviter un plantage fatal au démarrage avec message : 
"icmp_sock: (1) Operation not permitted". 
Il suffit de passer le binaire "pinger" (dans squid/libexec) en mode suid root :

cd le_repertoire_de_squid  cd libexec  chown root:squid pinger  chmod 4755 pinger

ou de réaliser un "make install-pinger". 
Comme "pinger" utilise des ports "au hasard" (?) j'ai préféré ajouter l'option "pinger_enable false" dans mon fichier "squid.conf".

Scripts joints :

• Création certificat
• Script d'init
• Exemple de redirection IPTABLES

Script (ancienne mode avec "service") adapté du script fourni par Debian :

#! /bin/sh 
# 
# squid        Startup script for the SQUID HTTP proxy-cache. 
# 
# Version:    @(#)squid3.rc  1.0  07-Jul-2006  luigi@debian.org 
# 
### BEGIN INIT INFO 
# Provides:          squid 
# Required-Start:    $network $remote_fs $syslog 
# Required-Stop:     $network $remote_fs $syslog 
# Should-Start:      $named 
# Should-Stop:       $named 
# Default-Start:     2 3 4 5 
# Default-Stop:      0 1 6 
# Short-Description: Squid HTTP Proxy version 3.x 
### END INIT INFO 

NAME=squid 
DESC="Squid HTTP Proxy 3.x" 
DAEMON=/usr/local/squid/sbin/squid 
PIDFILE=/usr/local/squid/var/run/$NAME.pid 
CONFIG=/usr/local/squid/etc/squid.conf 
SQUID_ARGS="-YC -f $CONFIG" 

[ ! -f /etc/default/squid3 ] || . /etc/default/squid3 

. /lib/lsb/init-functions 

PATH=/bin:/usr/bin:/sbin:/usr/sbin 

[ -x $DAEMON ] || exit 0 

ulimit -n 65535 

find_cache_dir () { 
        w="     " # space tab 
        res=`sed -ne ' 
                s/^'$1'['"$w"']\+[^'"$w"']\+['"$w"']\+\([^'"$w"']\+\).*$/\1/p; 
                t end; 
                d; 
                :end q' < $CONFIG` 
        [ -n "$res" ] || res=$2 
        echo "$res" 
} 

find_cache_type () { 
    w="     " # space tab 
    res=`sed -ne ' 
        s/^'$1'['"$w"']\+\([^'"$w"']\+\).*$/\1/p; 
        t end; 
        d; 
        :end q' < $CONFIG` 
    [ -n "$res" ] || res=$2 
    echo "$res" 
} 

start () { 
    killall -u squid 
    cache_dir=`find_cache_dir cache_dir` 
    cache_type=`find_cache_type cache_dir` 

    # 
    # Create spool dirs if they don't exist. 
    # 
    if [ "$cache_type" = "coss" -a -d "$cache_dir" -a ! -f "$cache_dir/stripe" ] || [ "$cache_type" != "coss" -a -d "$cache_dir" -a ! -d "$cache_dir/00" ] 
    then 
        log_warning_msg "Creating $DESC cache structure" 
        $DAEMON -z -f $CONFIG 
    fi 

    umask 027 
    ulimit -n 65535 
    cd $cache_dir 
    start-stop-daemon --quiet --start \ 
        --pidfile $PIDFILE \ 
        --exec $DAEMON -- $SQUID_ARGS < /dev/null 
    return $? 
} 

stop () { 
    PID=`cat $PIDFILE 2>/dev/null` 
    start-stop-daemon --stop --quiet --pidfile $PIDFILE --exec $DAEMON 
    # 
    #    Now we have to wait until squid has _really_ stopped. 
    # 
    sleep 2 
    if test -n "$PID" && kill -0 $PID 2>/dev/null 
    then 
        log_action_begin_msg " Waiting" 
        cnt=0 
        while kill -0 $PID 2>/dev/null 
        do 
            cnt=`expr $cnt + 1` 
            if [ $cnt -gt 24 ] 
            then 
                log_action_end_msg 1 
                return 1 
            fi 
            sleep 1 
            log_action_cont_msg "" 
        done 
        log_action_end_msg 0 
        killall -u squid 
        return 0 
    else 
        return 0 
    fi 
} 

case "$1" in 
    start) 
    log_daemon_msg "Starting $DESC" "$NAME" 
    if start ; then 
        log_end_msg $? 
    else 
        log_end_msg $? 
    fi 
    ;; 
    stop) 
    log_daemon_msg "Stopping $DESC" "$NAME" 
    if stop ; then 
        log_end_msg $? 
    else 
        log_end_msg $? 
    fi 
    ;; 
    reload|force-reload) 
    log_action_msg "Reloading $DESC configuration files" 
    start-stop-daemon --stop --signal 1 \ 
        --pidfile $PIDFILE --quiet --exec $DAEMON 
    log_action_end_msg 0 
    ;; 
    restart) 
    log_daemon_msg "Restarting $DESC" "$NAME" 
    stop 
    if start ; then 
        log_end_msg $? 
    else 
        log_end_msg $? 
    fi 
    ;; 
    status) 
    status_of_proc -p $PIDFILE $DAEMON $NAME && exit 0 || exit 3 
    ;; 
    *) 
    echo "Usage: /etc/init.d/$NAME {start|stop|reload|force-reload|restart|status}" 
    exit 3 
    ;; 
esac 

exit 0 
 

Les très fameux "ACL" permettent, entre autres, de filtrer efficacement des sites "indésirables". 
Les plus souvent visés sont les sites "pour adultes", mais on peut y ajouter les sites qui farcissent vos écrans de publicités diverses ou qui vous "pistent". 
Squid dispose pour cela de trois types principaux d'ACL (il y en a d'autres) mais la documentation est parfois sybilline. 
Pour la plupart d'entre eix une syntaxe permet de déporter les paramètres dans un bête fichier texte externe dont il suffit d'indiquer le nom, ce nom peut être donné sous la forme d'une URL. Je mets "http://mon_serveur_web/deny.png" qui pointe vers une image de 1 pixel, comme cela on ne voit rien sur l'écran ! 
Premier type : liste d'URL "à éviter". 
acl  listeurl  dstdomain "/etc/squid/nom_du_fichier" 
deny_info      http://mon_serveur/deny.png        listeurl 
http_access    deny   listeurl

Le format est simple, des noms de domaines, s'il sont précédés d'un point tous les sous-domaines sont eux aussi bloqués. Exemple : 
.yieldmanager.com 
.zanox-affiliate.de 
.zanox.com 

Deuxième type : liste d'IP "incorrectes" 
acl  listeip   dst        "/etc/squid/nom_du_fichier_ip" 
deny_info      http://mon_serveur/deny.png        listeip 
http_access    deny   listeip

Le format du fichier est simple : des adresses IP au format CIDR, par exemple : 
209.207.224.220/32 
209.207.224.246/32

Troisième type : liste d'expressions régulières. 
acl ad_block   dstdom_regex    "/etc/squid/ad_block.db" 
deny_info      http:/mon_serveur/deny.png  ad_block 
http_access    deny        ad_block 

Pour cette dernière liste j'utilise une liste "toute faite", il en existe plusieurs, par exemple un petit :

wget -O /etc/squid/ad_block.db 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=squid-dstdom-regex&show…'

Un petit exemple quand même pour la route :

.zintext\.com 
.zmedia\.com 
Note : cela marche aussi sans le "\" devant .com. 
Avec tout ceci vous êtes parés à filtrer.

Télécharger ma liste de "vilains méchants". Elle date un peu depuis 2014, mais elle est mise à jour assez régulièrement.

Ce script est le résultat de diverses récupérations sur Internet .... le certificat généré (autorité) à charger dans les navigateurs "clients" est le fichier en ".crt"

#!/bin/bash 
# 
SORTIE() 
{ 
if [ "$1" -eq 0 ] 
   then 
    echo 'OK' 
   else 
    echo ------- KO ----------; 
fi 
exit 
}

# Partie a personnaliser 
RCN=/usr/local/squid/ssl_cert 
KNAME='votre_autorite'; 
PAYS=FR 
REGION=Idf 
VILLE='Trifouilly les Oies' 
NA=le_nom_de_votre_entite 
FQDN=votre_nom 
MAIL=un_mail_bien_a_vous   
PASS='une_phrase_de_passe' 

cd $RCN 
ret=$? 
if [ $ret -ne 0 ] 
   then 
    echo 'Erreur cd '$RCN 
    SORTIE 1 
    exit $ret 
fi 
# Generer la clef (2048 bits) 
openssl genrsa -out $KNAME'.private'  2048 
ret=$? 
if [ $ret -ne 0 ] 
   then 
    SORTIE 2 
fi 
# generer certificat 
openssl req -new -key $KNAME'.private' -out $KNAME'.csr' <<!FINI 
$PAYS 
$REGION 
$VILLE 
$NA 
$NA 
$FQDN 
$MAIL 
$PASS 
$NA 
!FINI 
ret=$? 
if [ $ret -ne 0 ] 
   then 
    SORTIE 3 
fi 
### signer 
openssl x509 -req -days 3652 -in $KNAME'.csr' -signkey $KNAME'.private' -out $KNAME'.crt' 
ret=$? 
if [ $ret -ne 0 ] 
   then 
    SORTIE 4 
fi 
SORTIE 0

Ce script "iptables" effectue la redirection des trames demandant à "sortir" vers les ports 80 ou 443, les trames sont automatiquement redirigées sur les "bons" ports de Squid.

#!/bin/bash 
# 
#    Diversion port 80 to 3128 (squid) 
#    et 443 to 3129 (squid SSL) 
# 
GENER() 
{ 
iptables -t nat $1 PREROUTING -i $IFINT -s $SOURCE -p tcp $OPTION --dport $PORTE  -j REDIRECT --to-port $PORTS 
} 
# ================================================================ 

PATH=/sbin:$PATH 
# interface vers reseau privé 
IFINT=br1 
# adresse du réseau à "Traiter" 
SOURCE="192.168.2.0/24" 
# Ne pas proxifier ce host, c'est le support de SQUID 
HOST='192.168.2.2'     
OPTION=' ! -d '$HOST 
# 
#    HTTP 
# 
PORTS=3128 
PORTE=80 
# 
GENER -D 
GENER -I 
# 
#    HTTPS 
# 
PORTS=3129 
PORTE=443 
# 
GENER -D 
GENER -I 

exit 0 
 

Depuis le temps que j'utilise Squid j'ai accumulé deux listes de sites à filtrer :

1. Une liste de noms de domaines.
2. Une liste d'adresses IP.

ACL pour la liste d'adresses IP: 
acl             badip   dst     "/etc/squid/badip.txt" 
deny_info       http://apache_local:81/deny.png  badip 
http_access     deny    badip 

ACL pour la liste de noms de domaine : 
acl             trade   dstdomain       "/etc/squid/trade.txt" 
deny_info       http://portail.jpp.fr:81/deny.png&nbsp; trade 
http_access     deny            trade

Téléchargez la liste IP (#200 adresses) ici.

Téléchargez la liste de sites (#800 noms de domaines) ici.

Voir aussi l'article sur les listes publiques permettant d'améliorer le filtrage.

Note 2024 : Ces listes ne sont plus à jour depuis 2020 ... il va falloir que je m'y remette ...

Debian Stretch a abandonné la version 1.0 de Openssl et le paquet "libssl-dev" est dédié à la version 1.1, aussi les anciennes versions de Squid (3.5 par exemple) ne compilent plus avec Debian 9 et provoquent des erreurs si l'ancienne version de libssl n'est pas présente, voir article sur ce plantage. 
J'ai donc décidé de passer à la version 4 de Squid qui est adaptée à libssl 1.1. 
Pour disposer de cette version c'est très simple :

• Télécharger les sources sur http://www.squid-cache.org/Versions/v4, j'ai téléchargé la version la plus récente squid-4.0.21-20170901-ra8623e5 datée du 1er septembre.
• Décompresser l'archive
• Lancer le script ci dessous :

#!/bin/bash  OPTIONS=' --with-default-user=squid '  # MAX FD  OPTIONS=$OPTIONS' --with-filedescriptors=16384 '  # NO IPV6  OPTIONS=$OPTIONS' --disable-ipv6 '  ## Modif pour V4  OPTIONS=$OPTIONS' --enable-ssl --enable-inline '  # Depuis SQUID 3.5  OPTIONS=$OPTIONS' --with-openssl '  # transparent (pour utiliser redirection avec iptables)  OPTIONS=$OPTIONS' --enable-linux-netfilter --enable-icmp --with-large-files '  OPTIONS=$OPTIONS' --enable-icap --enable-useragent-log --enable-referer-log'  OPTIONS=$OPTIONS' --disable-poll --enable-epoll --disable-ident-lookups '  OPTIONS=$OPTIONS' --enable-async-io=16 --enable-underscores --enable-carp'  OPTIONS=$OPTIONS' --enable-storeio=aufs,diskd,rock '  OPTIONS=$OPTIONS' --enable-htpc '  OPTIONS=$OPTIONS' --enable-err-language=fr '  OPTIONS=$OPTIONS' --enable-http-violations '  # Nouveau 4.0  OPTIONS=$OPTIONS' --enable-delay-pools '  OPTIONS=$OPTIONS' --enable-kill-parent-hack '  OPTIONS=$OPTIONS' --enable-translation '  cd squid-4.....  ./bootstrap  ./configure $OPTIONS 2>&1 | tee LOG.CONFIGURE make clean 2>&1 | tee LOG.CLEAN  make -j 3 2>&1 | tee LOG.MAK  make clean 2>&1 | tee LOG.CLEAN  make -j 3 2>&1 | tee LOG.MAK

Il ne vous restera plus qu'à effectuer un "sudo make install" pour disposer de cette dernière version qui fonctionne parfaitement avec libssl 1.1. 
A noter : le reste de l'installation, y compris le paramétrage, restent identiques à ceux utilisés pour la version 3.5. 
 

La fonction filtre de Squid fonctionne essentiellement à l'aide de listes noires, il est donc essentiel de disposer de "listes noires" à jour car les publicitaires "invasifs" n'hésitent pas à modifier leurs noms de domaines et les adresses IP de leurs machines (merci le cloud !).

Une bonne source de ces listes est le site https://pgl.yoyo.org, vous pouvez aussi aller voir https://yoyo.org. 
Comme ces listes ne sont pas forcément dans un format reconnu par Squid, j'utilise deux scripts qui effectuent :

• La récupération des données.
• Leur mise en forme.
• Leur placement dans le bon répertoire sous le "bon nom" reconnu par le paramétrage de Squid.

 Le paramétrage dans "squid.conf" est simple, il suffit d'ajouter :

Paramétrage SQUID

acl         yoyo_ip     dst      "/etc/squid/yoyo_bad_adresses.txt"  deny_info     http://xxxxxxx/deny.png   yoyo_ip  http_access     deny     yoyo_ip acl    ad_block    dstdom_regex    "/etc/squid/ad_block.db"  deny_info     http://xxxxxxx/deny.png  ad_block  http_access    deny        ad_block

Note : le renvoi est fait vers un serveur Apache (Nginx doit faire aussi bien) résidant sur la même machine, le fichier "deny.png" est une simple image d'un petit point rouge. 
On doit pouvoir faire le même genre d'opération avec un fichier "local" sur les postes clients. 
Ces scripts sont, plus ou moins, paramétrables à l'aide d'un fichier ".conf"et réalisent les opérations pour lesquelles ils ont été conçus. 
Il est conseillé de les lancer une fois par semaine afin de bénéficier d'une mise à jour régulière.

Les scripts sont disponibles ici en format tar.gz.

L'installation s'est bien terminée, l'interface Web fonctionne et l'accès depuis Evolution ou Thunderbird fonctionne parfaitement, la première chose qui nous manque est le paramétrage des sites "antispam", oui cela sert ! 
Or l'interface Web d'administration ne donne pas accès (au moins pas encore) à ce type de données, il faut passer par le CLI et des commandes de paramétrages "un peu" ésotériques.
Le mini-script suivant permet d'installer 4 sites antispam d'un coup :

1.  Abuseat.org (division de Spamhaus) 
2.  Spamcop.net
3.  Spamhaus.org
4.  barracudecentral.org

Cet ensemble doit permettre de "purifier" un peu les mais reçus, voici le petit script qui réalise ce miracle.

carbonio prov mcf \
zimbraMtaRestriction reject_invalid_helo_hostname \
zimbraMtaRestriction reject_unknown_helo_hostname \
zimbraMtaRestriction reject_unknown_client_hostname \
zimbraMtaRestriction reject_unknown_reverse_client_hostname \
zimbraMtaRestriction reject_non_fqdn_sender \
zimbraMtaRestriction reject_unknown_sender_domain \
zimbraMtaRestriction reject_invalid_hostname  \
zimbraMtaRestriction "reject_rbl_client cbl.abuseat.org" \
zimbraMtaRestriction "reject_rbl_client bl.spamcop.net" \
zimbraMtaRestriction "reject_rbl_client sbl.spamhaus.org" \
zimbraMtaRestriction "reject_rbl_client b.barracudacentral.org"

Et on vérifie avec la commande :

carbonio prov gcf zimbraMtaRestriction
qui retourne :
zimbraMtaRestriction: reject_invalid_helo_hostname
zimbraMtaRestriction: reject_unknown_helo_hostname
zimbraMtaRestriction: reject_unknown_client_hostname
zimbraMtaRestriction: reject_unknown_reverse_client_hostname
zimbraMtaRestriction: reject_non_fqdn_sender
zimbraMtaRestriction: reject_unknown_sender_domain
zimbraMtaRestriction: reject_invalid_hostname
zimbraMtaRestriction: reject_rbl_client cbl.abuseat.org
zimbraMtaRestriction: reject_rbl_client bl.spamcop.net
zimbraMtaRestriction: reject_rbl_client sbl.spamhaus.org
zimbraMtaRestriction: reject_rbl_client b.barracudacentral.org

Et c'est tout pour aujourd'hui.

Attention.

Il semble que certaines mises à jour "écrasent" ces données, il faut donc vérifier périodiquement ?
(A confirmer).

Carbonio offre aussi une application pour téléphones (Versions Iphone et Android).

La connexion s'effectue par le service "web" standard du serveur web de Carbonio, celui que vous utilisez avec votre browser favori,  (bien indiquer le port) et fonctionne parfaitement.
L'interface (Iphone) , je n'ai pas testé la version pour Android, est fonctionnel et permet de lire agréablement les mails.
Première image : écran d'affichage des mails reçus :

La fenêtre de lecture des mails est parfaitement lisible et le menu (smple) facilement accessible.
Je n'ai pas testé la partie "contacts" car ... je n'ai pas encore saisi de contacts dans Carbonio ...

Le premier écran rencontré, celui de login apparaît sur un fond qui fait un peu "bande dessinée" : 
 

Après avoir fourni login et mot de passe on arrive sur l'affichage des mails :

La colonne la plus à gauche donne accès à :

1.  Emails
2.  Calendrier
3.  Contacts
4.  Fichiers
5.  Recherche
6. Paramètres principaux

La colonne suivante présente ici (affichage des mails) les différents dossiers de courrier, il est tout à fait facile de créer de nouveaux dossiers ...
Le gros "bouton bleu" en haut permet de créer :

1.  un mail
2.  un nouveau contact
3.  un nouveau groupe de contacts
4.  de télécharger un fichier ...

L'écriture d'un nouveau mail ouvre une petite fenêtre dans l'écran :

Cette fenêtre possède à peu près tout ce qu'il faut pour écrire un "beau" mail avec fontes et tout le reste.