GLPI in produzione senza hardening è un bersaglio facile. Questo checklist copre i punti di sicurezza critici che ogni amministratore deve verificare.
Checklist di sicurezza
1. DocumentRoot nella cartella public
Il server web (Apache/Nginx) deve puntare a /var/www/glpi/public, non a /var/www/glpi. Senza questo, i file interni sono accessibili tramite URL.
2. Rimuovere i file di installazione
rm -f /var/www/glpi/install/install.php3. Cambiare le password predefinite
Cambia immediatamente le password di: glpi, tech, normal, post-only. Considera di disabilitare gli account non utilizzati.
4. HTTPS obbligatorio
Configura SSL/TLS e reindirizza HTTP verso HTTPS. Usa Let's Encrypt per certificati gratuiti.
5. Header di sicurezza
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'"6. Permessi delle directory
/var/www/glpi: lettura per www-data/var/lib/glpi: lettura+scrittura per www-data/etc/glpi: lettura per www-data, senza accesso web/var/log/glpi: scrittura per www-data, senza accesso web
7. Mantenersi aggiornati
Applica le patch di sicurezza non appena disponibili. Usa il modulo CVE Scan per monitorare le vulnerabilità.
8. Backup e piano DR
Consulta la nostra guida di backup e disaster recovery.
9. Monitoraggio
Monitora GLPI con Zabbix o Grafana: disponibilità, prestazioni, errori di autenticazione (tentativi di brute force).
10. Autenticazione forte
Implementa il SSO con Azure AD + MFA. Disabilita il login locale per gli utenti che usano il SSO.
