Pular para o conteúdo principal

GLPI e Fusioninventory

GLPI e Fusioninventory sem complicações:



Devido a muitos artigos ensinarem a instalar diversas ferramentas no qual sysadmins e ou administradores não se preocuparem com a segurança, decidi escrever um tutorial robusto explicando como instalar GLPI com Fusioninventory aplicando alguns meios no qual aumente a segurança em ambientes corporativos.


# O que é GLPI?

Um sistema web de código aberto desenvolvido em php para gerenciamento de ativos de TI, sendo possível realizar a gestão, inventário, incididentes/requisições ou projetos em um ambiente corporativo.


# O Que é fusioninventory?

Um plugin do sistema GLPI no qual facilita e incrementa informações de inventário e deploy de instalações de aplicações remotas.


# Instalação dos aplicativos no Debian:

# Recomenda-se atualizar o repositório, o sistema e os pacotes:

apt update && apt upgrade


# Pré instalação (Servidor web Apache, Banco de Dados Mariadb e PHP)

apt install apache2 php php-curl php-gd php-cli php-mbstring php-mysql php-xml php-cas php-imap php-ldap php-xmlrpc php-soap php-snmp php-apcu php-zip php-intl php-bz2 mariadb-server vim -y


# Deve-se inicializar o banco de dados Mariadb e habilita-lo:

systemctl enable mariadb --now


# Deve-se primeiramente criar segurança no sistema Mariadb:

mysql_secure_installation 


# Exemplo de resultado resumido:

Enter current password for root (enter for none):  -->  [ENTER]

Switch to unix_socket authentication [Y/n] --> [ENTER]

Change the root password? [Y/n] --> [Y]

New password: [senha_segura] --> Ex: s3nh@_$3gur@

Remove anonymous users? [Y/n] --> [Y]

Disallow root login remotely? [Y/n] --> [Y]

Remove test database and access to it? [Y/n] --> [Y]

Reload privilege tables now? [Y/n] --> [Y]


# Deve-se criar a base de dados:

# Obs: Para fins de segurança a base glpi, será criada para acesso localmente, recomenda a inserção de senha uma segurança para a conectar a base.

mysql -u root -p's3nh@_$3gur@'

mysql> create database glpi;

mysql> create user 'glpi'@'localhost' identified by 'senha_segura';

mysql> grant all on glpi.* to glpi identified by 'senha_segura';

mysql> quit;


# Recomenda-se baixar o arquivo do GLPI no site oficial:

cd /var/www/html/

wget https://github.com/glpi-project/glpi/releases/download/9.5.7/glpi-9.5.7.tgz

tar -vxf glpi-9.5.7.tgz


# Recomenda-se baixar o arquivo do Fusioninventory no site oficial:

cd /var/www/html/glpi/plugins

wget https://github.com/fusioninventory/fusioninventory-for-glpi/releases/download/glpi9.5%2B4.2/fusioninventory-9.5+4.2.tar.bz2

tar -vxf fusioninventory-9.5+4.2.tar.bz2


# Permissão GLPI para todas pastas e arquivos incluindo o plugin do fusioninventory:

chmod 775 /var/www/html/glpi -Rf

chown www-data. /var/www/html/glpi -Rf


# Deve-se habilitar o servidor Web apache:

systemctl enable apache2 --now


# Recomenda-se a implementação de segurança Básica no servidor web, instalação do firewalld.

apt install firewalld -y


# Deve-se adicionar a regra para habilitar o protocolo http permanentemente:

# Obs: Recomenda-se posteriormente habilitar a regra para protocolo https e desabilitar o http

firewall-cmd --zone=public --add-service=http --permanent

firewall-cmd --reload


# Verificar regras para a zona public:

firewall-cmd --list-all --zone=public

Resultado: services: dhcpv6-client http ssh


# Incrementar o protocolo ssl no servidor apache, para a conexão ser criptografada, para isto será necessário uma chave e um certificado.

Obs: Será necessário informar dados como: Nome de domínio, organização, localidade, estado, email etc na requisição para assinatura de um certificado digital.


# Deve-se instalar os pacotes necessários

apt install openssl ca-certificates -y


# Para incrementar essa camada de segurança, deve-se criar a chave

cd /etc/ssl/private && openssl genrsa -out ca.key 2048

# Deve-se gerar um arquivo csr para solicitar a assinatura e validar um autoridade certificadora.

cd /etc/ssl/ && openssl req -new -key /etc/ssl/private/ca.key -out ca.csr

# Deve-se assinar a requisição via autoridade certificadora válida ou auto assinar.

cd /etc/ssl/certs && openssl x509 -req -days 365 -in /etc/ssl/ca.csr -signkey /etc/ssl/private/ca.key -out /etc/ssl/certs/ca.crt


# Deve-se criar o arquivo de configuração ssl no apache:

> /etc/apache2/conf-available/ssl-params.conf

vim /etc/apache2/conf-available/ssl-params.conf


# Conteúdo do arquivo:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

SSLHonorCipherOrder On

# Disable preloading HSTS for now.  You can use the commented out header line that includes

# the "preload" directive if you understand the implications.

# Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

# Requires Apache >= 2.4

SSLCompression off

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

# Requires Apache >= 2.4.11

SSLSessionTickets Off


# Criar o arquivo vhosts para utilizar a porta 443:

cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak

vim /etc/apache2/sites-available/default-ssl.conf


# Conteúdo a ser alterado:

SSLCertificateFile /etc/ssl/certs/ca.crt

SSLCertificateKeyFile /etc/ssl/private/ca.key


# Habilitar o mod ssl no apache

/usr/sbin/a2enmod ssl

/usr/sbin/a2ensite default-ssl


# Adicionar o protocolo https no firewall:

firewall-cmd --zone=public --add-service=https --permanent

firewall-cmd --reload


# Recomenda-se redicionar conexões http para https para incremento de segurança:

# Habilitar o modo rewrite:

/usr/sbin/a2enmod rewrite

# Adicionar configuração no vhost referente a porta 80:

vim /etc/apache2/sites-available/000-default.conf


# Conteúdo para ser adicionado:      

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI}


# Deve-se continuar aprimorando segurança no servidor web, para ocultar versão do apache e do sistema operacional:

vim /etc/apache2/conf-available/security.conf

# Altera as seguintes variáveis para ocultar as informações:

ServerSignature Off

ServerTokens Prod


# Deve-se instalar o modsecurity, um módulo que atua para um incremento de segurança, facilitando monitor o tráfego em tempo real e previnindo possíveis ataques de força bruta:

apt install libapache2-mod-security2 && /usr/sbin/a2enmod security2

# Recomenda-se incrementar configuração adicinonal para além do módulo detectar, bloquear atividades suspeitas, Exemplo:

cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf 

# Altere de "SecRuleEngine DetectionOnly" para "SecRuleEngine On"

vim /etc/modsecurity/modsecurity.conf


# Recomenda-se incrementar regras de intrusão de ataques, visando aprimorar e proteger sua estrutura web.

# Conhecida como "OWASP ModSecurity Core Rule Set (CRS)"

cd /root

wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3.3.4.zip

tar -vxf v3.3.4.tar.gz

cp /root/coreruleset-3.3.4/crs-setup.conf.example /etc/modsecurity/crs-setup.conf

mv /root/coreruleset-3.3.4/rules/ /etc/modsecurity/

# Recomenda-se remover as regras com falso positivo ou reconfigura-las

rm -f /etc/modsecurity/rules/REQUEST-922-MULTIPART-ATTACK.conf

rm -f /etc/modsecurity/rules/RESPONSE-980-CORRELATION.conf

rm -f /etc/modsecurity/rules/RESPONSE-959-BLOCKING-EVALUATION.conf"

# Deve-se atualizar as regras no módulo security

vim /etc/apache2/mods-enabled/security2.conf

# Deve ser alterar o arquivo conforme informações:

IncludeOptional /etc/modsecurity/*.conf

Include /etc/modsecurity/rules/*.conf

##IncludeOptional /usr/share/modsecurity-crs/owasp-crs.load


# Reiniciar o serviço do apache pois ativado os módulos: ssl, rewrite e outras configurações

systemctl restart apache2


# Deve-se continuar a instalação web, utiliza-se o ip ou dns.

# Obs 1: Escolha a base de glpi criada durante a instalação, informe a senha.

# Obs 2: Esse procedimento é um pouco demorado.

http://seu_ip/glpi/


# Para instalar o plugin, após a conclusão habilite o plugin:

Clique em: setup --> Plugins --> Caixa com sinal de +, "Opção Install",


# Deve-se instalar o agent do fusioninventory:

apt install fusioninventory-agent -y


# Deve-se alterar o servidor na váriavel server do arquivo e no-ssl-check para não verificar ou validar o certificado:

vim /etc/fusioninventory/agent.cfg

server =  http://seu_ip/glpi/plugins/fusioninventory/

no-ssl-check = 1


# Deve-se reiniciar o serviço do agente do fusioninventory-agent para garantir a aplicabilidade das configurações

systemctl restart fusioninventory-agent


# Tutorial criado para auxiliar aumentar e incrementar segurança ao serviços, recomenda-se atentar ou realizar reajustes adicionais conforme a necessidade do ambiente computacional.


Ass: Luiz Guilherme Nunes Fernandes
Email: narutospinal@gmail.com
Informativo: Entusiasta e colaborador em Software Livre.
Labels:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Feliz 2013!!!

Gostaria de agradecer a todos que este ano acompanharam as matérias postadas e as mais de  7000 visitas ao blog , muito obrigado. Este ano tivemos grandes conquistas e inúmeras novidades como por exemplo o fim do MSN no início de 2013, a criação da União Livre e o desenvolvimento do Kaiana que será lançada em 2013, distro nacional , a descontinução do BigLinux do DreanLinux entre outr as distro, o lançamento do liv ro da S B P - Software Publico Brasileiro, os dois anos do LibreOffice, o prime iro Hackday do LibreOffice , o IX Latinoware, a Microsoft boicotando o Linux (como sempre), o lançamento do Windows 8 e a sua baixa taxa de adesão pelos usuários, entre out ros. Gostaria de desejar a todos Boas Festas e que em 2013 possamos estar juntos novamente. Feliz Natal!!!! F eli z 2013 a todos!!!
Postar um comentário
Leia mais

O MSN tem Data Marcada para seu Fim

Imagem Retirado do Google 15 de Março Agora sim, o Windows Live Messenger está com os dias contatos, a Microsoft anunciou que o MSN deixará de funcionar no dia 15 de Março deste ano, menos na China. A empresa aconselha a todos os usuários a usarem o Skype que foi integrado com o serviço do MSN, segundo a empresa, os usuários estão sendo notificados por e-mail sobre como proceder para fazer esta mudança de plataforma (eu não recebi até agora tal notificação). Acho o Skype melhor que o Windows Live (assim como muitos profissionais de TI) , mesmo na versão para Linux, claro, sempre existem outras opções e o Pidgin, que se mostra como opção.
Postar um comentário
Leia mais

Feliz Dia das Mães!!!!

Postar um comentário
Leia mais

Como Instalar a Fonte ttf-mscorefonts (Times New Roman, Arial, etc) no Ubuntu, Linux Mint e Derivados

Quando instalamos uma distribuição GNU/Linuxmsabemos que vem o LibreOffice por padrão porém geralmente não vem instalado a fonte ttf-mscorefonts que contém as fontes Times New Roman, Arial, etc, como essas fontes são muito útil para os universitários, pelo mundo corporativo e a Associação Brasileira de Normas Técnicas (ABNT), exige que os trabalhos sejam entregues nas fontes Times New Roman e Arial, por meio desta postagem espero pode ajudar a todos com a instalação da fonte ttf-mscorefonts que contém essas fontes. Ao instalar o GNU/Linux abra o terminal e execute o comando: $ sudo apt-get install ttf-mscorefonts-installer Leia os termos de uso e avance clicando em “Ok” Agora aceite os termos de uso clicando em “Sim” Pronto agora abra o LibreOffice e veja se as fontes Times New Roman, Arial estão instaladas. Caso ocorra algum erro ou precisa reinstalar, execute: $ sudo apt-get install --reinstall ttf-mscorefonts-installer
Postar um comentário
Leia mais

Comandos Úteis para o Linux Mint, Ubuntu e Derivados

Alguns dias sugeriram que eu postasse alguns comandos uteis  utilizados no Linux Mint e para o Ubuntu, mas com tantas distros baseadas no Ubuntu esses comandos também podem ser utilizados nas distros como: Ubuntu 15.04, Ubuntu 14.10, Ubuntu 14.04 , Linux Mint 17.2, Linux Mint 17.1, Linux Mint 17, Pinguy OS 14.04, Elementary OS 0.3, Deepin 2014, Peppermint Five, LXLE 14.04 and Linux Lite 2 2 , DuZeru, Kaiana e derivados . Segue alguns comandos importantes para manutenção do sistema, principalmente para usuários iniciantes... 1- Atualizar a lista de pacotes:  $ sudo apt-get update 2- Atualizar toda a distro:  $ sudo apt-get -f dist-upgrade ou update-manager -d -c 3- Instalar pacotes:  $ sudo apt-get install [nome do pacote] 4- Procurar arquivos corrompidos:  $ sudo apt-get check 5- Corrigir problemas de dependências, concluir instalação de pacotes pendentes e outros erros: $ sudo apt-get -f install 6- Se o comando sudo apt-get -f install nã...
9 comentários
Leia mais

Como Instalar a Fonte ttf-mscorefonts (Times New Roman, Arial, etc) no Ubuntu, Linux Mint e Derivados

Quando instalamos uma distribuição GNU/Linuxmsabemos que vem o LibreOffice por padrão porém geralmente não vem instalado a fonte ttf-mscorefonts que contém as fontes Times New Roman, Arial, etc, como essas fontes são muito útil para os universitários, pelo mundo corporativo e a Associação Brasileira de Normas Técnicas (ABNT), exige que os trabalhos sejam entregues nas fontes Times New Roman e Arial, por meio desta postagem espero pode ajudar a todos com a instalação da fonte ttf-mscorefonts que contém essas fontes. Ao instalar o GNU/Linux abra o terminal e execute o comando: $ sudo apt-get install ttf-mscorefonts-installer Leia os termos de uso e avance clicando em “Ok” Agora aceite os termos de uso clicando em “Sim” Pronto agora abra o LibreOffice e veja se as fontes Times New Roman, Arial estão instaladas. Caso ocorra algum erro ou precisa reinstalar, execute: $ sudo apt-get install --reinstall ttf-mscorefonts-installer
9 comentários
Leia mais

QElectroTech (Software Livre para Criar Diagramas Elétricos)

ElectroTech, ou QET, abreviadamente, é um software livre para criar diagramas elétricos industriais complexos. Mas você também pode criar diagramas de encanamento, geotermia, ar condicionado, layout, hidráulica, pneumática, domótica, PID, fotovoltaica, encanamento de piscinas, etc.! Na última versão 0.100, a coleção contém mais de 8.000 símbolos... Mais informações clique aqui . Para baixar clique no link: https://qelectrotech.org/download.php  
Postar um comentário
Leia mais

Boot USB Samsung Series 5 Ultra

A linha de Ultrabooks "Series 5 Ultra" da Samsung vem com o Windows 8 instalado e amarrado. Não é possível instalar um sistema decente (ou seja, Linux), antes de mudar várias opções da BIOS. Assim, seguem abaixo conforme as abas, a configuração da BIOS necessária para conseguir fazer boot. Na inicialização aperte F2 para acessar a BIOS e então faça as seguintes alterações: Advanced : Fast BIOS Mode -> Disabled AHCI Mode Control -> Manual ( Atenção: Se você não for usar exclusivamente Linux, mas sim fazer dual boot com Win, deixe essa opção no Auto ) Set AHCI Mode -> Disabled USB S3 Wake-up -> Enabled Boot: Secure Boot -> Disabled OS Mode Selection -> UEFI and CSM OS (Essa opção garante boot com Win e Linux) Boot > Boot Priority Order USB HDD: SATA CD: SATA HDD: Essa ordem de boot vai garantir que ele tente primeiro o boot pela USB, depois pelo CD e por último no HD. Apenas as opções acima são as necessá...
5 comentários
Leia mais

Como Instalar o Kodi 19.5 "Matrix"

Kodi (anteriormente denominado XBMC) é um famoso hub de mídia de código aberto e home theater PC, sendo traduzido em mais de 30 idiomas. Além disso, suas características podem ser altamente estendido através de plugins de terceiros e extensões e tem suporte para PVR (personal video recorder).   A versão final do Kodi 19.5 “Matrix” foi lançado, chegando com alterações que podem ser vistas clicando aqui . Para instalar no Ubuntu,  Linux Mint, Elementary OS e derivados, execute:   $ sudo add-apt-repository ppa:team-xbmc/ppa $ sudo apt-get update $ sudo apt-get install kodi     Use o comando a seguir para instalar codecs de áudio e outros complementos, executando:     $ sudo apt-get install --install-suggests kodi     Para remover, execute:   $ sudo apt-get remove kodi*
Postar um comentário
Leia mais

Escrevendo uma Macro no LibreOffice Calc - Introdução

Este tutorial foi retirado do site Debugpoint, não mudei nada nenhuma linha de comando, apenas traduzir a explicação do tutorial e espero que ajudem a todos. O LibreOfice fornece uma maneira de escrever a sua própria macro para automatizar várias tarefas repetitivas em seu aplicativo de escritório. Você pode usar Python ou Basic para o desenvolvimento do macro. Este tutorial se concentra em escrever um macro básico 'Olá Mundo' usando básico do LibreOffice Calc .   Macro Objetivo   Nós iremos criar uma macro que iria colocar a string ' Olá Mundo' na primeira célula do LibreOffice Calc ou seja, a célula da linha 1 e col A. Criando o Macro   Abr a o LibreOffice Calc em Aplicativos = > Office/Escritório => LibreOffice Calc .   Ou pesquise " calc " na barra de pesquisa Vá para a opção no menu : Ferramentas ==> Macros == > Organizar Macros ==> LibreOffice Basic . Abai...
14 comentários
Leia mais