Segurança do GLPI: Hardening e Boas Práticas

Richard Loureiro Atualizado em 2 min de leitura 68 visualizações

Checklist completo de segurança para GLPI em produção: pasta public, cabeçalhos HTTP, TLS, permissões, atualizações, monitorização e hardening.

GLPI em produção sem hardening é um alvo fácil. Este checklist cobre os pontos críticos de segurança que todo o administrador deve verificar.

Checklist de segurança

1. DocumentRoot na pasta public

O servidor web (Apache/Nginx) deve apontar para /var/www/glpi/public, não para /var/www/glpi. Sem isto, os ficheiros internos ficam acessíveis por URL.

2. Remover ficheiros de instalação

rm -f /var/www/glpi/install/install.php

3. Alterar palavras-passe predefinidas

Altere imediatamente as palavras-passe de: glpi, tech, normal, post-only. Considere desativar as contas não utilizadas.

4. HTTPS obrigatório

Configure SSL/TLS e redirecione HTTP para HTTPS. Utilize o Let's Encrypt para certificados gratuitos.

5. Cabeçalhos de segurança

Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'"

6. Permissões de diretórios

  • /var/www/glpi: leitura para www-data
  • /var/lib/glpi: leitura+escrita para www-data
  • /etc/glpi: leitura para www-data, sem acesso web
  • /var/log/glpi: escrita para www-data, sem acesso web

7. Manter atualizado

Aplique patches de segurança assim que disponíveis. Utilize o módulo CVE Scan para monitorizar vulnerabilidades.

8. Cópia de segurança e plano de DR

Consulte o nosso guia de cópia de segurança e disaster recovery.

9. Monitorização

Monitorize o GLPI com Zabbix ou Grafana: disponibilidade, desempenho, erros de autenticação (tentativas de brute force).

10. Autenticação forte

Implemente SSO com Azure AD + MFA. Desative o login local para utilizadores que usam SSO.

Perguntas Frequentes

As mais comuns são: ficheiros de instalação não removidos, pasta public não configurada como DocumentRoot, credenciais predefinidas não alteradas e versão desatualizada com CVEs conhecidos.

A partir do GLPI 10, o DocumentRoot do servidor web deve apontar para /var/www/glpi/public (não /var/www/glpi). Isto impede o acesso direto a ficheiros internos do GLPI.

O módulo CVE Scan da NexTool verifica automaticamente os CVEs da versão instalada e audita 17 pontos de segurança do ambiente.

Não nativamente no core. Plugins como o MFA (TICGAL) adicionam autenticação multifator via TOTP. Em alternativa, utilize SSO com Azure AD/Okta que já inclui MFA.

Como traduzir chamados no GLPI com DeepL, Google ou IA

Como traduzir chamados no GLPI com DeepL, Google ou IA

27/05/2026
Por Que Sua Empresa Deveria Usar o GLPI em 2026

Por Que Sua Empresa Deveria Usar o GLPI em 2026

26/05/2026
O que é GLPI? Guia Completo 2026

O que é GLPI? Guia Completo 2026

22/05/2026
50 Plugins e Módulos para GLPI: Guia Completo 2026

50 Plugins e Módulos para GLPI: Guia Completo 2026

19/05/2026

Índice

Pesquisar

Recentes

A carregar…

Posts em destaque

Últimos 7 dias

Tags

A carregar…

Precisa de ajuda?