VUG Spain – Luis Knowledge Base

7 de diciembre de 20238 de febrero de 2024

Creando nuestro propio Ubuntu Server + Harden Repository Linux para Veeam V12

En una entrada anterior, veíamos como desplegar el Ubuntu VHL «paquetizado» directamente, ya aplicando todo el Hardening y opciones del script «por defecto» e incluso endureciendo los permisos de usuarios.

Ahora bien, si el caso es, que quieres instalar tu propio Ubuntu Server, y luego aplicar el Hardening, te traigo unos pantallazos con una Instalación estándar más la ejecución del script.

al lío –
Instalamos Nuestro Ubuntu Server:

Ya tenemos instalado el S.O. Base, ahora
Vamos a descargar el Script desde el siguiente enlace, lo subimos a nuestro servidor, y lo ejecutamos, atentos:

Nos vamos a la sección de descarga «Download»

Nos envía a un repositorio git, ahí tenemos el script.

Yo me lo bajé a mi ordenador, y lo subí via ssh a mi servidor Ubuntu. a vuestra elección.

Aqui importante, una vez copiado el archivo, le damos permisos de ejecución, y lo ejecutamos con permisos de «super user».

aquí, tras un reinicio y login, vemos el mensaje arriba del todo, el famoso «Disclaimer»
También vemos la salida de puntos de montaje, vemos el sistema y /backups, que será donde guardemos nuestros backups inmutables más adelante.

Listo!

Ya tenemos nuestro Ubuntu Server con el Harden aplicado, y ya podemos seguir los pasos del artículo siguiente para añadir nuestro repo a Veeam B&R V12 y hacerlo inmutable, desde la parte de la adición del repo a VBR V12.

saludos.

30 de noviembre de 20238 de febrero de 2024

Instalación e integración de VHR en VBR V12!

(Veeam Hardened Repository)

Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»

Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.

Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«

Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo.
Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.

Toda la información y descargas las podemos encontrar aquí!

Comenzamos:

Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo.
Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.

Configuración de red, recomendado bond de 2 tarjetas de red, muy fácil de hacer con el asistente.
en mi caso al ser laboratorio, solo he dejado una tarjeta y por DHCP

Si tenemos servidor Proxy para la conexión a internet, importante definirlo, ya que se bajará actualizaciones de seguridad en el proceso de instalación.

OJO! Vamos a destruir todo el contenido de los discos, e instalar el S.O, y el repositorio,
si estais re instalando el S.O por fallo, no hagas esto, o lo perderéis todo.

Arranque inicial, nos «logueamos» con el usuario creado previamente…

Ojo al disclammer, nos indica que tras este setup inicial, y reiniciemos, el S.O. se va a «endurecer» deshabilitando todos los comandos para el usuario, a excepción de reboot y shutdown!!
Haremos nuestros ajustes, y ante de reiniciar, lo añadiremos al servidor de Veeam VBR!!!

En nuestro VBR, vamos al Wizard de añadir repositorio de backup.

Añadimos nuestro servidor VHR recién desplegado

Las credenciales como single use, sino, nos va a fallar, es un hardened repo, todo debe ser lo más seguro posible!

Continuamos con el proceso,
Seleccionamos nuestra unidad donde vamos a almacenar los backups, el Repo!

Aquí definimos la inmutabilidad, en días, lo he dejado por defecto, 7!

Seguimos con la configuración convencional de nuestros repos

Vemos aquí nuestro repo Inmutable listo para ser usado, independiente, en SORB, etc…

OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!

Como veis, ya lo hemos añadido a nuestro VBR, por tanto, ahora, a reiniciar, tras lo cual, se ejecutará el script de «endurecido» quedando el usuario solamente con la opción de shutdown y reboot.

Listo! ya nos dice el disclamer que el Hardening se ha efectuado.
Todo listo para usar nuestro repositorio en nuestro servidor seguro.

ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.

Espero os haya gustado, y os facilite el despliegue de esta fantástica opción,
yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!

Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.

un saludo.

29 de mayo de 2023

Restaurando una Réplica con Veeam B&R V12

En la entrada anterior, hemos visto cómo crear una réplica en Veeam B&R V12
Ahora, os enseñaré brevemente cómo podemos lanzar esa réplica a producción en caso de necesidad, y también comentaremos diferentes casos de uso.

Vamos!

Nos fijamos en nuestra consola de Veeam B&R V12, que tenemos la tarea de réplica

Vemos en Réplicas, que tenemos una Ready para ser usada / ejecutada

Hacemos click derecho sobre la réplica que queremos, y nos da las siguientes opciones:

Vamos a explicar brevemente las dos funciones que más utilizo
Failover now -> Veeam ejecutará la réplica en el host que tenemos definido, modo de uso normal en caso de perdida, parada, etc de nuestra producción.
Planned failover -> Realiza un apagado seguro del origen, y ejecuta la réplica, sin perdida de datos, sí con parada en el power off y power on.
Se puede emplear para testar nuestras réplicas, o para ejecutar una maquina en otro host, si no se dispone de vMotion o similares.

En nuestro ejemplo, vamos a simular una «caída» de producción, por tanto, Failover now… y seguimos.

Aquí vemos que la vm de réplica Photon_ova_4.0_replica está encendida

Estas últimas opciones, tras tener la máquina corriendo en réplica, son:
Permanent failover: la réplica se quedará como vm siempre
Undo failover, se quitan todos los cambios en la réplica, y se apaga.
Failback to production: los cambios realizados en la vm réplica, se pasan a la vm de producción, y se apaga la réplica, para arrancar la «original!».

Estos casos son, si perdimos el almacenamiento o la maquina origen, será mejor un Permanent Failover, pero si lo que perdimos fue conectividad a nuestra cabina, al volver a tenerla, podemos hacer un Failback to production, que se lleve los cambios, y seguiremos como siempre.

Ejecutamos nuestro Failback to production, para volver las cosas a como estaban, con los cambios producidos en la réplica, pasando todo a producción y seguimos trabajando como antes.

OJO, he seleccionado que encienda el destino tras el volcado de los datos.

aquí vemos la transición, de no comunicar, a volver a estar UP la maquina original

Como paso final, tras el cambio de la replica a producción, debemos hacer un Commit, para que finalice el proceso, se vuelquen todos los datos, y volvamos al status de maquina en prod, y réplica de la misma.

aqui vemos como todo volvió a estar como antes!

Saludos.

12 de mayo de 202312 de octubre de 2023

Kubernetes Data Protection con Kasten

Acompáñanos en esta sesión de la mano de Jose Maria, Señor Systems Engineer en Veeam, en la cual hablaremos principalmente en cómo proteger nuestras cargas de trabajo en Kubernetes con Kasten 10,
Así como una breve introducción a la comunidad, DEMO!

12 de febrero de 2023

Avisos de Veeam B&R en Telegram!

Antes que todo, esto es por mero entretenimiento y puesto en mi laboratorio para pruebas.

Hace tiempo llevo dandole vueltas al tema, las notificaciones por mail están bien, pero cuando tienes el buzón lleno, te llegan 100 o más correos al día, etc. se te escapan los realmente importantes, por ello, le daba vueltas a la manera de recibir alertas importantes fuera del correo, y de ahí nació la idea de ser notificado por Telegram!

Por partes, vamos a crear un bot de Telegram, para que podamos recibir los mensajes, y de ahí redirigirlos a un grupo de chat o lo que sea:

En Telegram:

Escribe @BotFather en la barra de búsqueda de Telegram
Elige la primera opción, que aparece con un “check” rojo de verificación (demuestra que es el bot oficial de Telegram)
Clica en INICIAR
Escribe el comando /newbot o haz clic sobre el mismo en la lista de comandos que se muestra en el chat
Seguidamente, escribe un nombre para tu bot y pulsa enter (Ejemplo: Telegram_Notifier)
Ahora se te pedirá establecer un nombre de usuario, que en este caso debe terminar en “bot” (Ejemplo: telegramnotifierBot)
Listo! guarda bien el token, que mas adelante nos servirá para validarnos, click en el enlace de tu nuevo bot, y entrarás en el, como un canal de chat.
ahora necesitamos nuestro ID de telegram, para ello, otro bot:
Accede a IDbot, y escribe el comando /getid
contestará tu ID es: …
apuntalo bien también.

Ahora en Windows, yo he creado un fichero ps1 llamado telgram, el cual contiene lo siguiente:

Function Send-Telegram {
Param([Parameter(Mandatory=$true)][String]$Message)
$Telegramtoken = "AQUÍ DEBEIS PEGAR VUESTRO TOKEN"
$Telegramchatid = "AQUI EL ID"
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$Response = Invoke-RestMethod -Uri "https://api.telegram.org/bot$($Telegramtoken)/sendMessage?chat_id=$($Telegramchatid)&text=$($Message)"}

$A = Get-WinEvent -MaxEvents 1  -FilterHashTable @{Logname = "Veeam Backup"}
$Message = $A.Message
$MachineName = $A.MachineName
$Source = $A.ProviderName

Send-Telegram $Message

guardarlo, donde más os guste! Editarlo con vuestro TOKEN e ID!!

Nos vamos a ir ahora al programador de tareas de windows, os pongo unos pantallazos que será mas sencillo!

Abrimos el programador de tareas de Windows

En la lista, seleccionamos el origen de los logs, Veeam Backup, y en Source, aquí Veeam Backup y mas adelante añadiremos un segundo source.

indicamos que queremos iniciar un programa

OJO el programa es POWERSHELL!
el argumento será el fichero powershell .ps1 que guardamos antes, hay que poner el path completo de donde está!

Ahora, editamos las propiedades de la tarea

Dejamos las opciones como se muestran en el pantallazo, que se ejecute siempre y que no guarde password.

Aqui le decimos qué eventos disparan nuestra tarea, añadimos Veeam Backup, ahora añadiremos el otro

Ya tenemos nuestra tarea programada lista!

ya lo tenemos todo configurado, una prueba rápida, abrimos nuestro Veeam B&R si no lo tenemos abierto, nos vamos a Configuration Backup, y subimos en 1 día la retención de los backups de configuración, nos debería llegar una notificación a nuestro Telegram

Configuration job has been modified.

Y si Lanzas una tarea de backup, te notificará así:

Desde aquí, ya es ir afinando desde el programador de tarea los eventos que queremos recibir a través de Telegram de nuestro Veeam B&R!

Espero que os sea útil,
no soy ningún amigo de la programación, si lo mejoráis (seguro que lo haréis) no dudes en contactarme para que podamos ir actualizando el post y tener una notificación por Telegram Épica!

Saludos.

9 de febrero de 20239 de febrero de 2023

Backup «simple» de VM con Veeam B&R V12

Vamos a ver a pantallazos, cómo crear nuestra primera tarea de backup a una máquina virtual, y de ahí seguiremos investigando.

Nos vamos a ir a la pantalla principal de la consola de Veeam, Home, y vamos a ir a Backup Job -> Virtual machine (ya que tenemos el servidor ESXi añadido).

Le damos un nombre a la tarea, es importante para que después tenga sentido para vosotros, y podremos añadir diferentes máquinas a una misma tarea

Vamos a ir a Add, y de ahi seleccionaremos nuestra maquina a «backupear»

como veis, sale nuestra vm Photon! la seleccionamos, mas adelante veremos otras formas de organizar nuestros backups por tags, etc.

Aqui podemos añadir más máquinas, o seguir al siguiente paso

Vemos info interesante, retención de 7 días mínima, es decir, que tendremos un mínimo de 7 puntos de restauración, en días.

veremos esto con más detalle, excelente feature para que las aplicaciones sean consistentes en el backup, no solamente la maquina.

Programacion de la tarea, esto es muy flexible, cada x días, x horas, periódico, etc… según lo que necesitemos.
lo habitual suele ser 1 backup diario, fuera de horas de producción.

aqui la tenemos, nuestra primera tarea de backup!

si le hacemos click derecho, la podemos «lanzar» para que se haga el backup

Aquí vemos que el backup se realizó, y tenemos acceso al fichero de backup que guarda veeam, en el cual veremos nuestra maquina y los puntos de restauración que tiene

En la próxima, veremos como recuperar información de nuestro backup de Veeam, tanto recuperar nuestra maquina completa, así como recuperar un fichero borrado solamente.

saludos.

4 de febrero de 20234 de febrero de 2023

[Updated] Instalación Veeam B&R V12 «a pantallazos»

Vamos a juntar unos pocos pantallazos del nuevo instalador de VBR V12.0.0.1402

Tengo que decir que lo han dejado «precioso» y más fácil de instalar que antes….

Una vez descargada la iso, la abrimos, y procedemos a la instalación, la vamos viendo a pantallazos…

Seleccionamos la primera opción, VBR V12

Si tenemos licencia / soporte, la ponemos aquí, sino, seguimos adelante con la versión community, la explicaremos más adelante

el instalador verifica que tenemos todo ok para continuar

Nos ofrece un resumen de donde se van a instalar las cosas, ojo» PostgreSQL! que maravilla.

Le dejamos hacer lo suyo por el background

Os dejo un par de pantallazos con las características de la maquina donde he instalado mi servidor de Veeam V12, para que la tengas como referencia.

Suelo crear 2 particiones, una para el OS + Base de Veeam, y en la otra Veeam pone el índice, metas y el repositorio local, selecciona las particiones automáticamente en la instalación, me gusta separarlo por si hay problemas de espacios, que no afecte al OS y vice versa.

3 de febrero de 20233 de febrero de 2023

Añadir ESXi a Veeam B&R V12

Vamos a ver en unos simples pantallazos, como añadir a Veeam B&R V12 un servidor ESXi para poder hacer backup de sus maquinas virtuales.
Ya hemos realizado la configuración inicial, ahora vamos a añadir un origen para «backupear«:

Iniciamos nuestra consola de Veeam B&R V12

En el menú Inventory ( de abajo a la izquierda) saldrá SERVER, Add Server arriba

Si no tenemos el password añadido, primero vamos a add, añadimos el usuario y contraseña, y seguimos con el wizard

Nos pedirá añadir el certificado, continuamos

Aquí lo tenemos, en el Menu de Inventory, bajo Standalone Hosts, vemos el host añadido, y si pinchamos en él, las máquinas virtuales que contiene!

Con esto, ya podremos comenzar a hacer backups, réplicas, etc.

para la proxima.

16 de enero de 202316 de enero de 2023

Configuración Inicial Veeam B&R V12

Ya hemos instalado Veeam B&R V12

Ahora vamos a la puesta en marcha inicial, revisando las opciones generales, para luego saltar a temas más tech o jugosos, como son las tareas de backup y replica.

Vamos a empezar por General Options

vamos a ver las opciones, y os digo lo que yo suelo «tocar»

No suelo activarlo, el almacenamiento que suelo usar para backup es «suficientemente rápido»

Suelo dejarlo por defecto también, si usas vuestros propios certificados, este es el sitio!

Aquí se pone «interesante» configuración de email para el envío de notificaciones y reportes,

Muy fácil de configurar, me gusta recibir el reporte general diario, si no te gusta la hora, la puedes cambiar.
Cuando configuras las notificaciones por email, te llegan de todas las tareas, con los statuses que están seleccionados abajo, luego en cada tarea, de forma adicional, podremos configurar las alertas por mail también, por poner más receptores, detalles, etc.

Si integras to Veeam B&R con algún monitor de eventos, como NAGIOS , CHECKMK , PRTG….

Yo las suelo dejar por defecto, es cómodo y esta info es muy valiosa a la hora de hacer troubleshooting, sobre todo el espacio libre en disco.

Este es a gustos, yo lo suelo dejar así, pero si requieres mayor retención de histórico, o quieres ver más o menos información de histórico, es el sitio donde tocar.

Saltamos ahora a Configuration Backup

Muy importante, de momento lo vamos a configurar en el repositorio que tenemos local, ya lo cambiaremos, también, activamos el encriptado de esta copia, dando de alta un password para ello, así , se nos guardaran en el backup las credenciales que daremos de alta más adelante:

Activar las casillas, y en password, click en add y nos pedirá crear el password, aplicamos y listo

Ahora, vamos a ver la pestaña inicial de Inventario «Inventory», donde daremos de alta el / los equipos a proteger con nuestras tareas de backup y replica.

Aquí vemos tanto maquinas virtuales, como equipos físicos con el veeam agent instalado y conectados a este servidor.

Por ejemplo, este equipo físico con agente.

Ahora vamos a Backup Infrastructure, donde veremos nuestro repositorio local, y podremos dar de alta nuestros repositorios de backup, tenéis otra entrada de cómo crear un repositorio cloud S3 con Wasabi, y es muy sencillo de añadir.