Pozn.: Popis v článku vychází z Veeam Backup & Replication 12.2, licencováno pomocí Veeam Universal License (VUL), tedy obdoba Enterprise Plus.
V úvodním díle Veeam Backup & Replication - Immutable Repository a bezpečné zálohy jsme popsali princip neměnných záloh (Immutable Backups) a možnosti, které můžeme ve Veeam Backup & Replication využít. Dnes se prakticky zaměříme na Veeam Hardened Repository (speciálně Managed Hardened Repository), jehož princip byl také popsán v minulém díle.
Veeam Hardened Repository
Jako Hardened Repository můžeme přidat Linux server, který bychom se měli snažit co nejvíce zabezpečit (Hardening). Na serveru je doporučeno (nevím, zda by nemělo jít o zásadní podmínku) použít souborový systém XFS. Tato konfigurace umožňuje ochranu zálohovaných dat pomocí Immutable Backups.
Systémové požadavky
Veeam uvádí různé požadavky na Hardened Repository, ale některé jsou spíše doporučení. Pokud chceme toto úložiště pouze testovat, tak nemusíme vše dodržet. Pokud ale chceme využít v produkci pro bezpečné uložení dat, tak je potřeba velmi dobře server zabezpečit. Viz. zamyšlení nad spolehlivostí Immutability na konci prvního dílu.
Doporučeno je použít fyzický server s lokálními disky (DAS) nebo vzdáleně připojeným blokovým úložištěm (SAN, čili využití iSCSI nebo Fibre Channel Protocol). Nelze využít připojený svazek NFS nebo SMB/CIFS. Pro testování můžeme využít také virtuální stroj (VM).
Pozn.: Je docela zajímavé, jak Veeam na mnoha místech (i v GUI) používá termín Direct Attached Storage. Přitom často může jít o server, který využívá diskový prostor na blokovém úložišti typu SAN. V oficiální dokumentaci požadavků pro Hardened Repository je správně uvedeno remotely attached block storage. V různých návodech na internetu dokonce narazíme na to, že popisují využití NAS zařízení, které připojíme pomocí iSCSI. To je samozřejmě nesmysl, ale řada zařízení podporuje NAS i SAN. Terminologii jsem kdysi popisoval v článku Storage technologie a SAN sítě aneb připojení serverů k diskovému poli.
Operační systém musí být 64bitový Linux, mělo by se jednat o jednu z podporovaných distribucí. Veeam má vyjmenované i distribuce s pokročilou integrací XFS. Jde o určité verze AlmaLinux, Debian, Red Hat (RHEL), Rocky Linux, SUSE (SLES) a Ubuntu. Na serveru je vyžadován Bash Shell a pro nasazení se využívá SSH. Pro ukládání zálohovaných dat vytvoříme samostatnou složku (oddíl), kde nastavíme definovaná oprávnění.
HW by měl být kompatibilní s danou distribucí Linuxu. Základní požadavky na server a OS jsou uvedeny v system requirements for backup repositories. Další v Requirements and Limitations. Speciální dokument popisuje sudo oprávnění Granular sudo Permissions Required for Hardened Repository.
Instalace a konfigurace Linux serveru
Veeam dokumentace popisuje přípravu serveru pro Ubuntu a Red Hat.
- Preparing Ubuntu Linux Server as Hardened Repository
- Preparing Red Hat Enterprise Linux Server as Hardened Repository
Na YouTube je oficiální video s návodem.
Podrobnější popis na Veeam blogu.
Na internetu nalezneme mnoho dalších návodů, pár příkladů je níže.
- Veeam Ransomware Protection with Red Hat Enterprise Linux as the Immutable Repository
- Veeam: Linux Hardened Repository using iSCSI
- Build an immutable backup repository for Veeam Backup & Replication
- Veeam Hardened Linux Repository - Part I
- Veeam Hardened Repository
Managed Hardened Repository
Stav projektu se 29.10.2024 posunul z Community Preview do experimentally supported.
- [RELEASE] Managed Hardened Repository ISO by Veeam
Managed Hardened Repository Preview Now Available![PREVIEW] Managed Hardened Repository ISO by Veeam
Veeam pracuje na přípravě bootable ISO (Veeam Hardened Repository ISO), které nainstaluje Hardened Repository jednoduchým způsobem bez potřeby jakýchkoli znalostí systému Linux.
Když jsem dokončoval článek, tak se v oficiální dokumentaci objevila nová sekce.
Hlavní vlastnosti
- zatím jde o
Community PreviewExperimentally Supported - je založeno na Rocky Linux
- zjednodušený instalátor základního OS, umožňuje nastavit pouze pár parametrů
- Pre-Hardened Base OS
- po instalaci máme přístup pouze do Hardened Repository Configurator Tool
- aktualizace operačního systému i komponent Backup Repository poskytuje přímo Veeam (nutná HTTPS komunikace na repository.veeam.com, využívá GPC klíče, které se musí obnovovat)
Systémové požadavky (k dříve uvedeným)
- Veeam Backup & Replication 12.2 nebo novější
- fyzický server (Red Hat compatibility list) nebo virtuální stroj (oficiálně není podporováno)
- alespoň 2 disky, každý o velikosti alespoň 100 GB (jinak nejde pokračovat v instalaci)
- zapnutý UEFI Secure Boot
- drátové připojení k síti o minimální rychlosti 1 Gbps
- podporuje pouze lokální disky (DAS) s HW RAID řadičem, nepodporuje SAN
Instalace serveru jako Managed Hardened Repository
Z Download: Veeam Hardened Repository ISO Preview Customer Portal nebo trial downloads (Additional Downloads - Extensions and Other - Veeam Hardened Repository ISO) stáhneme instalační ISO spolu s PDF dokumentací a dvěma videi, která ukazují instalaci a konfiguraci (to zde již asi není). Při psaní článku šlo o 0.1.15.PREVIEW
(nepodporuje upgrade na vyšší verzi), verze s experimentální podporou 0.1.17
(mělo by jít dále provádět upgrade).
V následujícím popisu vytváříme testovací úložiště jako VM na VMware (jsou zde i příklady různých parametrů).
- připojíme se na vSphere Client
- New Virtual Machine - vytvoříme VM
HardRepo
, Guest OS zvolíme Rocky Linux, 2 vCPU, 4GB vRAM, 2x vDisk 100 GB Thin - spustíme VM a VMware Remote Console (VMRC)
- menu Removable Devices - CD/DVD drive 1 - Connect to Disk Image File (iso) - připojíme instalační iso
- nabootujeme a spustíme Install Hardened Repository (deletes all data)
- pokud proběhne korektně příprava (Python script), tak se spustí GUI instalační průvodce s možností nastavit klávesnici, čas a síť (Network & Host Name)
- instalaci zahájíme tlačítkem Begin Installation, proběhne během pár minut, restartujeme server
- přihlásíme se výchozím jménem
vhradmin
a heslemvhradmin
- musíme zadat nové komplexní heslo, na které je řada omezení (také maximálně 3 znaky stejné třídy za sebou)
- odsouhlasíme licenční podmínky
- dostaneme se do Veeam Hardened Repository Configurator, kde máme k dispozici pouze pár voleb
Přidání Hardened Repository
Nyní potřebujeme přidat nové Backup Repository typu Hardened Repository. Nainstalovaný Linux server musíme přidat do zálohovací infrastruktury (Backup Infrastructure) jako spravovaný server (Managed Server). Z určité složky na serveru pak vytvoříme Repository. Přidání Linux serveru můžeme provést předem pomocí New Linux Server, ale tohoto průvodce můžeme spustit v rámci New Backup Repository.
Povolení SSH
Pro nasazení musíme nejprve povolit SSH na Linux serveru. Po dokončení jej opět vypneme (po určité době se vypne automaticky).
- Veeam Hardened Repository Configurator
- Start SSH
- zobrazí se heslo pro uživatele
veeamsvc
, tento účet použijeme pro přidání repository do Veeam Backup & Replication
Nové Hardened Repository
- Veeam Backup & Replication Console
- Backup Infrastructure - Backup Repositories - Add Repository
- zvolíme Direct Attached Storage - Linux (Hardened Repository)
- Name - unikátní název a popis úložiště
- Server - vybereme existující Repository server nebo přidáme nový Add New
- Name - zadáme buď plné DNS jméno (FQDN) nebo IP adresu serveru
- SSH Connection - musíme použít single-use credentials, které se neukládají do Veeam konfigurace, použijeme dříve zobrazený účet
veeamsvc
-
- Veeam se pokusí připojit k serveru, může být potřeba odsouhlasit důvěru serveru (SSH fingerprints), detekují se instalované komponenty
- kliknutím na tlačítko Apply se začnou instalovat komponenty a konfigurovat server
- Server - zpět v průvodci máme vybraný nově přidaný server, klikneme na Populate a vybereme složku (připojený druhý svazek/disk, standardně
/mnt/veeam-repository01
) - Repository - tlačítko Populate načte diskový prostor, zatrhneme Use fast cloning on XFS volumes, zadáme počet dní immutability period, můžeme upravit další nastavení včetně speciálních parametrů pod Advanced
- Mount Server - vybereme mount server a jeho parametry pro obnovu souborů a aplikačních položek
- Review - klikneme na Apply a proběhne instalace a konfigurace všech požadovaných komponent
Vypnutí SSH
- Veeam Hardened Repository Configurator
- Stop SSH
Backup Job
Zálohovací úlohu vytvoříme standardním způsobem, například podle Veeam Backup & Replication - Backup Job. Jako Storage - Backup repository vybereme naše Hardened Repository. Neměnnost záloh bude minimálně taková, jako Immutability period zadaná na úložišti.
Pokus o smazání souborů
Když zkusíme smazat zálohu ve Veeam Backup & Replication, tak ke smazání nedojde a dostaneme informaci, že do určitého data je nastavena Immutability. Veeam se dívá i na soubor .veeam.N.lock
a nedovolí smazání, i kdyby byl odstraněn Immutability attribute.
Pokud přistoupíme přímo k souborům, tak se nám soubory se zálohami také nepovede smazat. Výjimka je soubor VBM, který není chráněný a je možno smazat.
Hardened Repository Server
Veeam služby na serveru
- Veeam Data Mover - Transport Service (
veeamtransport
) - Veeam Immutability Service (
veeamimmureposvc
) - Veeam Installer Service for Linux (
veeamdeploymentsvc
)
Pozn.: Více jsme popsali v minulém díle.
Uživatelé na serveru
vhradmin
- pro správu serveruveeamsvc
- využívá Veeam Backup & Replication pro nasazení a správu Hardened Repository, non-root účet s vybranými root-equivalent oprávněními
Přístup na server
Při přihlášení přes konzoli můžeme využít účet vhradmin
, ale dostaneme se pouze do Veeam Hardened Repository Configurator.
Když povolíme SSH, tak se můžeme přihlásit účtem veeamsvc
. Můžeme pak použít různé Linuxové příkazy, ale pouze s omezenými právy. Patrně podle Granular sudo Permissions Required for Hardened Repository.
cd /mnt/veeam-repository01/backups/Test-Immutability lsattr -a getfattr * -n user.immutable.until cat .veeam.N.lock
Nebudou nám fungovat příkazy
rm *.vbk chattr -i *.vbk sudo chattr -i *.vbk
Zatím zde nejsou žádné komentáře.