Seguridad de GLPI: Hardening y Buenas Prácticas

Richard Loureiro Actualizado el 2 min de lectura 65 visualizaciones

Checklist completo de seguridad para GLPI en producción: carpeta public, cabeceras HTTP, TLS, permisos, actualizaciones, monitorización y hardening.

GLPI en producción sin hardening es un blanco fácil. Este checklist cubre los puntos críticos de seguridad que todo administrador debe verificar.

Checklist de seguridad

1. DocumentRoot en la carpeta public

El servidor web (Apache/Nginx) debe apuntar a /var/www/glpi/public, no a /var/www/glpi. Sin esto, los archivos internos quedan accesibles por URL.

2. Eliminar archivos de instalación

rm -f /var/www/glpi/install/install.php

3. Cambiar contraseñas predeterminadas

Cambie de inmediato las contraseñas de: glpi, tech, normal, post-only. Considere desactivar las cuentas no utilizadas.

4. HTTPS obligatorio

Configure SSL/TLS y redirija HTTP a HTTPS. Use Let's Encrypt para certificados gratuitos.

5. Cabeceras de seguridad

Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'"

6. Permisos de directorios

  • /var/www/glpi: lectura para www-data
  • /var/lib/glpi: lectura+escritura para www-data
  • /etc/glpi: lectura para www-data, sin acceso web
  • /var/log/glpi: escritura para www-data, sin acceso web

7. Mantenerse actualizado

Aplique parches de seguridad en cuanto estén disponibles. Use el módulo CVE Scan para monitorizar vulnerabilidades.

8. Copia de seguridad y plan de DR

Consulte nuestra guía de copia de seguridad y disaster recovery.

9. Monitorización

Monitorice el GLPI con Zabbix o Grafana: disponibilidad, rendimiento, errores de autenticación (intentos de fuerza bruta).

10. Autenticación fuerte

Implemente SSO con Azure AD + MFA. Deshabilite el login local para los usuarios que usan SSO.

Preguntas Frecuentes

Las más comunes son: archivos de instalación no eliminados, carpeta public no configurada como DocumentRoot, credenciales predeterminadas no cambiadas y versión desactualizada con CVEs conocidos.

A partir de GLPI 10, el DocumentRoot del servidor web debe apuntar a /var/www/glpi/public (no a /var/www/glpi). Esto impide el acceso directo a los archivos internos de GLPI.

El módulo CVE Scan de NexTool verifica automáticamente los CVEs de la versión instalada y audita 17 puntos de seguridad del entorno.

No de forma nativa en el core. Plugins como MFA (TICGAL) añaden autenticación multifactor vía TOTP. Como alternativa, use SSO con Azure AD/Okta que ya incluye MFA.

Como traduzir chamados no GLPI com DeepL, Google ou IA

Como traduzir chamados no GLPI com DeepL, Google ou IA

27 may 2026
Por Que Sua Empresa Deveria Usar o GLPI em 2026

Por Que Sua Empresa Deveria Usar o GLPI em 2026

26 may 2026
O que é GLPI? Guia Completo 2026

O que é GLPI? Guia Completo 2026

22 may 2026
50 Plugins e Módulos para GLPI: Guia Completo 2026

50 Plugins e Módulos para GLPI: Guia Completo 2026

19 may 2026

Índice

Buscar

Recientes

Cargando...

Publicaciones en tendencia

Últimos 7 días

Tags

Cargando...

?Necesitas ayuda?