Publicado el por Luis Freixas

Instalación e integración de VHR en VBR V12!

(Veeam Hardened Repository)

Hola, Hoy por fin me he animado a desplegar y probar el fantástico proyecto de Veeam, el VHR «Veeam Hardened Repository»

Se trata de un despliegue «paquetizado» de un Ubuntu Server, el cual ha sido «endurecido» o «reforzado» con las pautas de seguridad DISA STIG.

Existe la opción de instalar el S.O. por tu cuenta, y después correr el script de Hardened, pero me ha parecido más interesante probar este «paquetizado«

Voy a ir poniendo pantallazos y algunos comentarios, el proceso es muy sencillo.
Para las pruebas, lo he desplegado en una maquina virtual, pero este VHR está diseñado para ser desplegado en un servidor físico, no en vm.

Toda la información y descargas las podemos encontrar aquí!

Comenzamos:

Como pre requisito, este deploy buscará en los discos el más pequeño para el S.O. y el más grande para el repositorio, yo en mi caso he desplegado un disco de 20GB y otro de 100Gb y los ha reconocido solo.
Recomendado si hacéis el despliegue en servidor, que tenga controladora RAID, un RAID 1 «Pequeño» para el S.O. y un Raid 5 ò 6 para el repositorio.

Booteamos la ISO
Configuración de red, recomendado bond de 2 tarjetas de red, muy fácil de hacer con el asistente.
en mi caso al ser laboratorio, solo he dejado una tarjeta y por DHCP
Si tenemos servidor Proxy para la conexión a internet, importante definirlo, ya que se bajará actualizaciones de seguridad en el proceso de instalación.
OJO! Vamos a destruir todo el contenido de los discos, e instalar el S.O, y el repositorio,
si estais re instalando el S.O por fallo, no hagas esto, o lo perderéis todo.
Definimos usuario
arranca la magia
Sigue la magia con actualizaciones
acabamos, ahora, a reiniciar.
Arranque inicial, nos «logueamos» con el usuario creado previamente…
Ojo al disclammer, nos indica que tras este setup inicial, y reiniciemos, el S.O. se va a «endurecer» deshabilitando todos los comandos para el usuario, a excepción de reboot y shutdown!!
Haremos nuestros ajustes, y ante de reiniciar, lo añadiremos al servidor de Veeam VBR!!!
En nuestro VBR, vamos al Wizard de añadir repositorio de backup.
HARDENED!!!
Añadimos nuestro servidor VHR recién desplegado
Las credenciales como single use, sino, nos va a fallar, es un hardened repo, todo debe ser lo más seguro posible!
Continuamos con el proceso,
Seleccionamos nuestra unidad donde vamos a almacenar los backups, el Repo!
Aquí definimos la inmutabilidad, en días, lo he dejado por defecto, 7!
Seguimos con la configuración convencional de nuestros repos
Listo!

Vemos aquí nuestro repo Inmutable listo para ser usado, independiente, en SORB, etc…

OJO, continuamos ahora en el Servidor VHR que desplegamos, para terminar el Hardening!!

Como veis, ya lo hemos añadido a nuestro VBR, por tanto, ahora, a reiniciar, tras lo cual, se ejecutará el script de «endurecido» quedando el usuario solamente con la opción de shutdown y reboot.
Listo! ya nos dice el disclamer que el Hardening se ha efectuado.
Todo listo para usar nuestro repositorio en nuestro servidor seguro.

ara poder hacer troubleshooting, tendremos que reiniciar y lomearnos en el servidor como root desde el modo Standalone desde el arranque del Grub, ya que el root está deshabilitado, y nuestro usuario únicamente tiene permisos de Reboot y Shutdown.

Espero os haya gustado, y os facilite el despliegue de esta fantástica opción,
yo lo tengo en mi laboratorio, y como bien dice la documentación, usarlo a vuestro criterio, y no tiene soporte, no habrás tickets en soporte!

Para monitorear los discos en caso de fallo, etc, deberes configurar la ILO, IPMI, DRAC, etc… que tenga vuestro servidor, ya que el S.O. del VHR no mandará notificaciones.

un saludo.