Segurança do GLPI: Hardening e Boas Práticas

Richard Loureiro Aggiornato il 1 min di lettura 31 visualizzazioni

Checklist completo de segurança para GLPI em produção: pasta public, headers HTTP, TLS, permissões, atualizações, monitoramento e hardening.

GLPI em produção sem hardening é um alvo fácil. Este checklist cobre os pontos críticos de segurança que todo administrador deve verificar.

Checklist de segurança

1. DocumentRoot na pasta public

O servidor web (Apache/Nginx) deve apontar para /var/www/glpi/public, não para /var/www/glpi. Sem isso, arquivos internos ficam acessíveis via URL.

2. Remover arquivos de instalação

rm -f /var/www/glpi/install/install.php

3. Trocar senhas padrão

Troque imediatamente as senhas de: glpi, tech, normal, post-only. Considere desativar contas não utilizadas.

4. HTTPS obrigatório

Configure SSL/TLS e redirecione HTTP para HTTPS. Use Let's Encrypt para certificados gratuitos.

5. Headers de segurança

Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'"

6. Permissões de diretórios

  • /var/www/glpi: leitura para www-data
  • /var/lib/glpi: leitura+escrita para www-data
  • /etc/glpi: leitura para www-data, sem acesso web
  • /var/log/glpi: escrita para www-data, sem acesso web

7. Manter atualizado

Aplique patches de segurança assim que disponíveis. Use o módulo CVE Scan para monitorar vulnerabilidades.

8. Backup e plano de DR

Veja nosso guia de backup e disaster recovery.

9. Monitoramento

Monitore o GLPI com Zabbix ou Grafana: disponibilidade, performance, erros de autenticação (tentativas de brute force).

10. Autenticação forte

Implemente SSO com Azure AD + MFA. Desative login local para usuários que usam SSO.

Domande Frequenti

As mais comuns são: arquivos de instalação não removidos, pasta public não configurada como DocumentRoot, credenciais padrão não alteradas e versão desatualizada com CVEs conhecidos.

A partir do GLPI 10, o DocumentRoot do servidor web deve apontar para /var/www/glpi/public (não /var/www/glpi). Isso impede acesso direto a arquivos internos do GLPI.

O módulo CVE Scan do NexTool verifica automaticamente CVEs da versão instalada e audita 17 pontos de segurança do ambiente.

Não nativamente no core. Plugins como MFA (TICGAL) adicionam autenticação multifator via TOTP. Alternativamente, use SSO com Azure AD/Okta que já tem MFA.

50 Plugins e Módulos para GLPI: Guia Completo 2026

50 Plugins e Módulos para GLPI: Guia Completo 2026

14 mag 2026
Controle de horas por contrato no GLPI com Contract Hours

Controle de horas por contrato no GLPI com Contract Hours

14 mag 2026
Como remover o código de categoria nos dropdowns do GLPI 11

Como remover o código de categoria nos dropdowns do GLPI 11

13 mag 2026
Rastreie quem visualizou cada ticket no GLPI com Ticket Tracker

Rastreie quem visualizou cada ticket no GLPI com Ticket Tracker

07 mag 2026

Indice

Cerca

Recenti

Caricamento…

Articoli di tendenza

Ultimi 7 giorni

Tag

Caricamento…

Hai bisogno di aiuto?