En una entrada anterior, veíamos como desplegar el Ubuntu VHL «paquetizado» directamente, ya aplicando todo el Hardening y opciones del script «por defecto» e incluso endureciendo los permisos de usuarios.
Ahora bien, si el caso es, que quieres instalar tu propio Ubuntu Server, y luego aplicar el Hardening, te traigo unos pantallazos con una Instalación estándar más la ejecución del script.
Ya tenemos nuestro Ubuntu Server con el Harden aplicado, y ya podemos seguir los pasos del artículo siguiente para añadir nuestro repo a Veeam B&R V12 y hacerlo inmutable, desde la parte de la adición del repo a VBR V12.
Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»
Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.
Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«
Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo. Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.
Toda la información y descargas las podemos encontrar aquí!
Comenzamos:
Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo. Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.
OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!
ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.
Espero os haya gustado, y os facilite el despliegue de esta fantástica opción, yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!
Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.
En la entrada anterior, hemos visto cómo crear una réplica en Veeam B&R V12 Ahora, os enseñaré brevemente cómo podemos lanzar esa réplica a producción en caso de necesidad, y también comentaremos diferentes casos de uso.
Vamos!
Vamos a explicar brevemente las dos funciones que más utilizo Failover now -> Veeam ejecutará la réplica en el host que tenemos definido, modo de uso normal en caso de perdida, parada, etc de nuestra producción. Planned failover -> Realiza un apagado seguro del origen, y ejecuta la réplica, sin perdida de datos, sí con parada en el power off y power on. Se puede emplear para testar nuestras réplicas, o para ejecutar una maquina en otro host, si no se dispone de vMotion o similares.
En nuestro ejemplo, vamos a simular una «caída» de producción, por tanto, Failover now… y seguimos.
Estas últimas opciones, tras tener la máquina corriendo en réplica, son: Permanent failover: la réplica se quedará como vm siempre Undo failover, se quitan todos los cambios en la réplica, y se apaga. Failback to production: los cambios realizados en la vm réplica, se pasan a la vm de producción, y se apaga la réplica, para arrancar la «original!».
Estos casos son, si perdimos el almacenamiento o la maquina origen, será mejor un Permanent Failover, pero si lo que perdimos fue conectividad a nuestra cabina, al volver a tenerla, podemos hacer un Failback to production, que se lleve los cambios, y seguiremos como siempre.
Ejecutamos nuestro Failback to production, para volver las cosas a como estaban, con los cambios producidos en la réplica, pasando todo a producción y seguimos trabajando como antes.
Como paso final, tras el cambio de la replica a producción, debemos hacer un Commit, para que finalice el proceso, se vuelquen todos los datos, y volvamos al status de maquina en prod, y réplica de la misma.
Acompáñanos en esta sesión de la mano de Jose Maria, Señor Systems Engineer en Veeam, en la cual hablaremos principalmente en cómo proteger nuestras cargas de trabajo en Kubernetes con Kasten 10, Así como una breve introducción a la comunidad, DEMO!
Antes que todo, esto es por mero entretenimiento y puesto en mi laboratorio para pruebas.
Hace tiempo llevo dandole vueltas al tema, las notificaciones por mail están bien, pero cuando tienes el buzón lleno, te llegan 100 o más correos al día, etc. se te escapan los realmente importantes, por ello, le daba vueltas a la manera de recibir alertas importantes fuera del correo, y de ahí nació la idea de ser notificado por Telegram!
Por partes, vamos a crear un bot de Telegram, para que podamos recibir los mensajes, y de ahí redirigirlos a un grupo de chat o lo que sea:
En Telegram:
Escribe @BotFather en la barra de búsqueda de Telegram
Elige la primera opción, que aparece con un “check” rojo de verificación (demuestra que es el bot oficial de Telegram)
Clica en INICIAR
Escribe el comando /newbot o haz clic sobre el mismo en la lista de comandos que se muestra en el chat
Seguidamente, escribe un nombre para tu bot y pulsa enter (Ejemplo: Telegram_Notifier)
Ahora se te pedirá establecer un nombre de usuario, que en este caso debe terminar en “bot” (Ejemplo: telegramnotifierBot)
Listo! guarda bien el token, que mas adelante nos servirá para validarnos, click en el enlace de tu nuevo bot, y entrarás en el, como un canal de chat.
ahora necesitamos nuestro ID de telegram, para ello, otro bot: Accede a IDbot, y escribe el comando /getid contestará tu ID es: … apuntalo bien también.
Ahora en Windows, yo he creado un fichero ps1 llamado telgram, el cual contiene lo siguiente:
guardarlo, donde más os guste! Editarlo con vuestro TOKEN e ID!!
Nos vamos a ir ahora al programador de tareas de windows, os pongo unos pantallazos que será mas sencillo!
ya lo tenemos todo configurado, una prueba rápida, abrimos nuestro Veeam B&R si no lo tenemos abierto, nos vamos a Configuration Backup, y subimos en 1 día la retención de los backups de configuración, nos debería llegar una notificación a nuestro Telegram
Configuration job has been modified.
Y si Lanzas una tarea de backup, te notificará así:
Desde aquí, ya es ir afinando desde el programador de tarea los eventos que queremos recibir a través de Telegram de nuestro Veeam B&R!
Espero que os sea útil, no soy ningún amigo de la programación, si lo mejoráis (seguro que lo haréis) no dudes en contactarme para que podamos ir actualizando el post y tener una notificación por Telegram Épica!
Vamos a ver a pantallazos, cómo crear nuestra primera tarea de backup a una máquina virtual, y de ahí seguiremos investigando.
Nos vamos a ir a la pantalla principal de la consola de Veeam, Home, y vamos a ir a Backup Job -> Virtual machine (ya que tenemos el servidor ESXi añadido).
En la próxima, veremos como recuperar información de nuestro backup de Veeam, tanto recuperar nuestra maquina completa, así como recuperar un fichero borrado solamente.
Vamos a juntar unos pocos pantallazos del nuevo instalador de VBR V12.0.0.1402
Tengo que decir que lo han dejado «precioso» y más fácil de instalar que antes….
Una vez descargada la iso, la abrimos, y procedemos a la instalación, la vamos viendo a pantallazos…
Os dejo un par de pantallazos con las características de la maquina donde he instalado mi servidor de Veeam V12, para que la tengas como referencia.
Suelo crear 2 particiones, una para el OS + Base de Veeam, y en la otra Veeam pone el índice, metas y el repositorio local, selecciona las particiones automáticamente en la instalación, me gusta separarlo por si hay problemas de espacios, que no afecte al OS y vice versa.
Vamos a ver en unos simples pantallazos, como añadir a Veeam B&R V12 un servidor ESXi para poder hacer backup de sus maquinas virtuales. Ya hemos realizado la configuración inicial, ahora vamos a añadir un origen para «backupear«:
Con esto, ya podremos comenzar a hacer backups, réplicas, etc.
Ahora vamos a la puesta en marcha inicial, revisando las opciones generales, para luego saltar a temas más tech o jugosos, como son las tareas de backup y replica.
Vamos a empezar por General Options
vamos a ver las opciones, y os digo lo que yo suelo «tocar»
Aquí se pone «interesante» configuración de email para el envío de notificaciones y reportes,
Saltamos ahora a Configuration Backup
Muy importante, de momento lo vamos a configurar en el repositorio que tenemos local, ya lo cambiaremos, también, activamos el encriptado de esta copia, dando de alta un password para ello, así , se nos guardaran en el backup las credenciales que daremos de alta más adelante:
Ahora, vamos a ver la pestaña inicial de Inventario «Inventory», donde daremos de alta el / los equipos a proteger con nuestras tareas de backup y replica.
Aquí vemos tanto maquinas virtuales, como equipos físicos con el veeam agent instalado y conectados a este servidor.
Ahora vamos a Backup Infrastructure, donde veremos nuestro repositorio local, y podremos dar de alta nuestros repositorios de backup, tenéis otra entrada de cómo crear un repositorio cloud S3 con Wasabi, y es muy sencillo de añadir.
En futuras entregas iremos viendo con detalle, cómo añadir repositorio local, CIFS; NFS, Cloud S3, etc.
Por ahora, ya podemos crear nuestra primera tarea de backup SENCILLA.