79 lines
3.6 KiB
Markdown
79 lines
3.6 KiB
Markdown
# MANUAL TÉCNICO - CONFIGURAÇÃO DE REPOSITÓRIOS IMUTÁVEIS (HARDENED LINUX)
|
|
|
|
**Código:** ITGENG 0021/26 | **Classificação:** RESTRITO
|
|
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
|
|
|
|
## 1. HISTÓRICO DE REVISÃO
|
|
|
|
|
|
|
|
| Data | Versão | Descrição | Autor |
|
|
| :--- | :--- | :--- | :--- |
|
|
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
|
|
|
|
## 2. OBJETIVO
|
|
Implementar proteção contra ransomware tornando os backups imutáveis (WORM) por um período definido, utilizando um servidor Linux "Hardened" sem credenciais persistentes.
|
|
|
|
## 3. PRÉ-REQUISITOS
|
|
* [ ] Servidor Físico ou Virtual com Linux moderno (Ubuntu 20.04+ / RHEL 8+).
|
|
* [ ] Disco formatado em XFS com Reflink habilitado (`mkfs.xfs -m reflink=1,crc=1`).
|
|
* [ ] Conta de usuário **não-root** no Linux com permissão sudo temporária.
|
|
|
|
## 4. PASSO A PASSO (EXECUÇÃO)
|
|
|
|
**Etapa 1: Preparação do Linux (Shell)**
|
|
1. Garanta que o diretório do repositório pertence ao usuário do Veeam:
|
|
```bash
|
|
chown veeamuser:veeamuser /mnt/backup-repo
|
|
chmod 700 /mnt/backup-repo
|
|
```
|
|
|
|
**Etapa 2: Adicionar Servidor com "Single-Use Credentials"**
|
|
!!! warning "Crítico"
|
|
Nunca salve a senha do root/sudo no Veeam. Use credenciais de uso único para que, se o Veeam Server for hackeado, o hacker não consiga acessar o Linux.
|
|
|
|
1. No console Veeam, vá em **Backup Infrastructure** > **Managed Servers** > **Add Server** > **Linux**.
|
|
2. Digite o IP/DNS do servidor Linux.
|
|
3. Em **Credentials**, clique em **Add** e selecione **Single-use credentials for hardened repository**.
|
|
4. Insira o usuário e senha (com sudo temporário).
|
|
5. Finalize o wizard. O Veeam instalará os serviços e certificados.
|
|
6. **Segurança:** Após adicionar, remova o usuário do grupo `sudo` no Linux.
|
|
|
|
|
|
|
|
**Etapa 3: Criar o Repositório Imutável**
|
|
1. Vá em **Backup Repositories** > **Add Repository** > **Direct attached storage** > **Linux**.
|
|
2. Selecione o servidor Linux adicionado.
|
|
3. Clique em **Populate** e escolha o caminho mountpoint XFS (`/mnt/backup-repo`).
|
|
4. Na tela de configurações do repositório, marque **OBRIGATORIAMENTE**:
|
|
* [x] **Use fast cloning on XFS volumes** (Economia de espaço massiva).
|
|
* [x] **Make recent backups immutable for:** `7` days (Mínimo recomendado).
|
|
|
|
|
|
|
|
**Etapa 4: Aplicação**
|
|
1. Finalize o wizard e aplique as configurações.
|
|
2. Crie ou edite um Backup Job para apontar para este novo repositório.
|
|
|
|
## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)
|
|
|
|
**Problema 1: "Fast Clone is not supported"**
|
|
* **Causa:** O sistema de arquivos não foi formatado com `reflink=1`.
|
|
* **Solução:** É necessário reformatar a partição XFS corretamente (destrutivo para dados).
|
|
|
|
**Problema 2: Falha ao adicionar servidor (SSH handshake fail)**
|
|
* **Causa:** O usuário single-use não tem permissão de escrita ou sudo falhou.
|
|
* **Solução:** Verifique se o usuário tem permissão `chmod 700` na pasta home e no diretório de destino.
|
|
|
|
## 6. DADOS TÉCNICOS
|
|
|
|
| Campo | Valor | Descrição |
|
|
| :--- | :--- | :--- |
|
|
| **Filesystem** | XFS (Reflink) | Obrigatório para Fast Clone |
|
|
| **Porta** | 6162 | Veeam Data Mover (TCP) |
|
|
| **Imutabilidade** | `chattr +i` | Flag de sistema usada para bloquear arquivos |
|
|
|
|
## 7. VALIDAÇÃO FINAL (Definição de Pronto)
|
|
- [ ] Tente deletar manualmente um arquivo de backup (`.vbk`) via console. O Veeam deve retornar erro "Access Denied" ou "Immutable".
|
|
- [ ] O ícone do Job no Veeam possui um "escudo" ou indicativo de proteção?
|