# MANUAL TÉCNICO - CONFIGURAÇÃO DE REPOSITÓRIOS IMUTÁVEIS (HARDENED LINUX)

**Código:** ITGENG 0021/26 | **Classificação:** RESTRITO
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}

## 1. HISTÓRICO DE REVISÃO



| Data | Versão | Descrição | Autor |
| :--- | :--- | :--- | :--- |
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |

## 2. OBJETIVO
Implementar proteção contra ransomware tornando os backups imutáveis (WORM) por um período definido, utilizando um servidor Linux "Hardened" sem credenciais persistentes.

## 3. PRÉ-REQUISITOS
*   [ ] Servidor Físico ou Virtual com Linux moderno (Ubuntu 20.04+ / RHEL 8+).
*   [ ] Disco formatado em XFS com Reflink habilitado (`mkfs.xfs -m reflink=1,crc=1`).
*   [ ] Conta de usuário **não-root** no Linux com permissão sudo temporária.

## 4. PASSO A PASSO (EXECUÇÃO)

**Etapa 1: Preparação do Linux (Shell)**
1. Garanta que o diretório do repositório pertence ao usuário do Veeam:
   ```bash
   chown veeamuser:veeamuser /mnt/backup-repo
   chmod 700 /mnt/backup-repo
   ```

**Etapa 2: Adicionar Servidor com "Single-Use Credentials"**
!!! warning "Crítico"
    Nunca salve a senha do root/sudo no Veeam. Use credenciais de uso único para que, se o Veeam Server for hackeado, o hacker não consiga acessar o Linux.

1. No console Veeam, vá em **Backup Infrastructure** > **Managed Servers** > **Add Server** > **Linux**.
2. Digite o IP/DNS do servidor Linux.
3. Em **Credentials**, clique em **Add** e selecione **Single-use credentials for hardened repository**.
4. Insira o usuário e senha (com sudo temporário).
5. Finalize o wizard. O Veeam instalará os serviços e certificados.
6. **Segurança:** Após adicionar, remova o usuário do grupo `sudo` no Linux.

![Single Use Credentials](assets/veeam_single_use_creds.png)

**Etapa 3: Criar o Repositório Imutável**
1. Vá em **Backup Repositories** > **Add Repository** > **Direct attached storage** > **Linux**.
2. Selecione o servidor Linux adicionado.
3. Clique em **Populate** e escolha o caminho mountpoint XFS (`/mnt/backup-repo`).
4. Na tela de configurações do repositório, marque **OBRIGATORIAMENTE**:
    *   [x] **Use fast cloning on XFS volumes** (Economia de espaço massiva).
    *   [x] **Make recent backups immutable for:** `7` days (Mínimo recomendado).

![Immutable Settings](assets/veeam_immutable_checkbox.png)

**Etapa 4: Aplicação**
1. Finalize o wizard e aplique as configurações.
2. Crie ou edite um Backup Job para apontar para este novo repositório.

## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

**Problema 1: "Fast Clone is not supported"**
*   **Causa:** O sistema de arquivos não foi formatado com `reflink=1`.
*   **Solução:** É necessário reformatar a partição XFS corretamente (destrutivo para dados).

**Problema 2: Falha ao adicionar servidor (SSH handshake fail)**
*   **Causa:** O usuário single-use não tem permissão de escrita ou sudo falhou.
*   **Solução:** Verifique se o usuário tem permissão `chmod 700` na pasta home e no diretório de destino.

## 6. DADOS TÉCNICOS

| Campo | Valor | Descrição |
| :--- | :--- | :--- |
| **Filesystem** | XFS (Reflink) | Obrigatório para Fast Clone |
| **Porta** | 6162 | Veeam Data Mover (TCP) |
| **Imutabilidade** | `chattr +i` | Flag de sistema usada para bloquear arquivos |

## 7. VALIDAÇÃO FINAL (Definição de Pronto)
- [ ] Tente deletar manualmente um arquivo de backup (`.vbk`) via console. O Veeam deve retornar erro "Access Denied" ou "Immutable".
- [ ] O ícone do Job no Veeam possui um "escudo" ou indicativo de proteção?