joao.goncalves
/
manuais-e-documentacao-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
manuais-e-documentacao-itguys/documentacao backup/ITGENG_0021_26_Hardened_Rep...

3.6 KiB
Raw Blame History

MANUAL TÉCNICO - CONFIGURAÇÃO DE REPOSITÓRIOS IMUTÁVEIS (HARDENED LINUX)

Código: ITGENG 0021/26 | Classificação: RESTRITO Responsável: João Pedro Toledo Gonçalves | Data: {{DATA_ATUAL}}

1. HISTÓRICO DE REVISÃO

Data Versão Descrição Autor
{{DATA_ATUAL}} 1.0 Criação Inicial João Pedro Toledo Gonçalves

2. OBJETIVO

Implementar proteção contra ransomware tornando os backups imutáveis (WORM) por um período definido, utilizando um servidor Linux "Hardened" sem credenciais persistentes.

3. PRÉ-REQUISITOS

  • Servidor Físico ou Virtual com Linux moderno (Ubuntu 20.04+ / RHEL 8+).
  • Disco formatado em XFS com Reflink habilitado (mkfs.xfs -m reflink=1,crc=1).
  • Conta de usuário não-root no Linux com permissão sudo temporária.

4. PASSO A PASSO (EXECUÇÃO)

Etapa 1: Preparação do Linux (Shell)

  1. Garanta que o diretório do repositório pertence ao usuário do Veeam: 
    chown veeamuser:veeamuser /mnt/backup-repo
chmod 700 /mnt/backup-repo

Etapa 2: Adicionar Servidor com "Single-Use Credentials" !!! warning "Crítico" Nunca salve a senha do root/sudo no Veeam. Use credenciais de uso único para que, se o Veeam Server for hackeado, o hacker não consiga acessar o Linux.

  1. No console Veeam, vá em Backup Infrastructure > Managed Servers > Add Server > Linux.
  2. Digite o IP/DNS do servidor Linux.
  3. Em Credentials, clique em Add e selecione Single-use credentials for hardened repository.
  4. Insira o usuário e senha (com sudo temporário).
  5. Finalize o wizard. O Veeam instalará os serviços e certificados.
  6. Segurança: Após adicionar, remova o usuário do grupo sudo no Linux.

Single Use Credentials

Etapa 3: Criar o Repositório Imutável

  1. Vá em Backup Repositories > Add Repository > Direct attached storage > Linux.
  2. Selecione o servidor Linux adicionado.
  3. Clique em Populate e escolha o caminho mountpoint XFS (/mnt/backup-repo).
  4. Na tela de configurações do repositório, marque OBRIGATORIAMENTE:
    • Use fast cloning on XFS volumes (Economia de espaço massiva).
    • Make recent backups immutable for: 7 days (Mínimo recomendado).

Immutable Settings

Etapa 4: Aplicação

  1. Finalize o wizard e aplique as configurações.
  2. Crie ou edite um Backup Job para apontar para este novo repositório.

5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

Problema 1: "Fast Clone is not supported"

  • Causa: O sistema de arquivos não foi formatado com reflink=1.
  • Solução: É necessário reformatar a partição XFS corretamente (destrutivo para dados).

Problema 2: Falha ao adicionar servidor (SSH handshake fail)

  • Causa: O usuário single-use não tem permissão de escrita ou sudo falhou.
  • Solução: Verifique se o usuário tem permissão chmod 700 na pasta home e no diretório de destino.

6. DADOS TÉCNICOS

Campo Valor Descrição
Filesystem XFS (Reflink) Obrigatório para Fast Clone
Porta 6162 Veeam Data Mover (TCP)
Imutabilidade chattr +i Flag de sistema usada para bloquear arquivos

7. VALIDAÇÃO FINAL (Definição de Pronto)

  • Tente deletar manualmente um arquivo de backup (.vbk) via console. O Veeam deve retornar erro "Access Denied" ou "Immutable".
  • O ícone do Job no Veeam possui um "escudo" ou indicativo de proteção?