Hola a tod@s
En esta oportunidad hablaremos sobre como implementar Veeam Hardened Repository, una opción para almacenar nuestros backup de forma segura e inmutable.
El Veeam Managed Hardened Repository es un ISO de arranque basado en la distribución Rocky Linux 9.2 (Blue Onyx) preconfigurada por Veeam. La idea de esta imagen es ser una solución pre-reforzada con todas las configuraciones de seguridad avanzadas ya aplicadas, ya que no es suficiente solo contar con la inmutabilidad si nuestro servidor donde almacenaremos los respaldos tiene una configuración insegura.
Nota Importante:
Si bien la ISO que usaremos en esta demostración aún está disponible para su descarga y es posible realizar implementaciones en entornos de Veeam 12, se recomienda usar el nuevo Veeam Infrastructure Appliance (VIA) para aprovisionar nuevos hardened repositories para las instalaciones de VBR V13. La ISO de VIA se encuentra en Descargas adicionales.
Para esta publicación veremos la configuración de Veeam Hardened Repository desde una imagen ISO.
Requerimientos del sistema
- Veeam Backup & Replication 12.2 o posterior.
- Servidor físico o máquina virtual en Lista de compatibilidad de RHEL con al menos 2 discos de mínimo 100 GB.
- No se recomienda usar una máquina virtual debido a la gran superficie de ataque del hipervisor.
- No se admite la adición de software de terceros.
Para más detalles sobre los requerimientos, características y capacidades podemos ver el siguiente enlace.
Podemos descargar la versión legacy de Veeam Hardened Repository.
Instalación de Veeam Hardened Repository.
Veeam nos entrega una ISO basada en Rocky Linux 9.2. Este, es un instalador automatizado que aplica un concepto llamado JeOS (Just Enough Operating System): solo instala lo mínimo necesario para que Veeam funcione, reduciendo al máximo la superficie de ataque.
La instalación del Linux es bastante sencilla, ya que es como si instaláramos un OS normal donde configuramos los parámetros de red, disco, credenciales, etc.
Una vez que termina, el equipo reinicia y nos encontramos con el GRUB de Rocky.
Por defecto, el usuario es vhradmin con la password vhradmin. Pero no nos emocionemos, porque lo primero que hará el sistema es obligarnos a cambiarla bajo normativas DISA STIG.
Nota: La terminal nos recuerda que las contraseñas deben tener 15 caracteres mínimos y una vida útil mínima de 24 horas
Tras cambiar la password, aceptamos el EULA de la appliance y entramos al Main Menu del configurador.
Para que nuestra consola de Veeam (VBR) pueda hablar con este servidor y configurarlo, necesitamos habilitar el SSH. Pero ojo, en un repositorio endurecido, el SSH no debe estar siempre abierto.
Seleccionamos ‘Start SSH‘ en el menú para permitir la comunicación con nuestro servidor de Veeam.
Al activarlo, el sistema genera automáticamente un usuario de servicio llamado veeamsvc con una password temporal.
Importante guardar estas credenciales, que las usaremos más adelante.
Una vez que tengamos estos datos, podemos darle a Logout en el menú para salir.
Si necesitamos realizar algún cambio, antes de pulsar Logout podemos realizarlo en este menú.
Agregando el Repositorio a la Consola VBR
Ahora nos vamos a nuestra infraestructura de backup en Veeam. Vamos a Backup Infraestructure > Backup Repositories > Add Repository.
Seleccionamos la opción Direct attached storage.
Ahora, seleccionamos Linux (Hardened Repository).
Le ponemos un nombre descriptivo a nuestro nuevo repositorio.
Agregamos nuestro servidor Linux, pulsando en “Add new“.
Ponemos la IP de nuestro servidor (en este ejemplo 10.10.10.9). Opcionalmente podemos agregar una descripción.
Aunque la opción recomendada es usar la autentificación basada en certificado, para este ejemplo usaré la opción “Single-use SSH credentials“.
En este punto agregamos las credenciales del usuario veeamsvc que anotamos antes.
Ya con las credenciales agregadas, podemos continuar.
Verificamos los componentes que se van a instalar en el servidor y pulsamos “Apply“.
Esperamos que termine de aplicar los cambios y continuamos.
Revisamos el resumen de la configuración y pulsamos “Finish“.
Ya con el servidor agregado, volvemos la configuración del repositorio. En este caso, usamos un volumen montado en /mnt/veeam-repository01.
Y aquí la configuración estrella: Make recent backups immutable for 7 days. Esto asegura que, pase lo que pase, esos datos no se tocan durante una semana.
No olvidamos habilitar Fast Cloning sobre XFS para ahorrar espacio.
Seleccionamos nuestro mount server tanto para Windows y/o Linux. Para este ejemplo solo tengo Windows.
Revisamos los componentes que se aplicarán y pulsamos “Apply“.
Una finalizada la configuración, continuamos.
Revisamos el resumen y continuamos.
Opcional: Veeam nos preguntará si queremos volver el repositorio recién credo como el repositorio por defecto.
Con estos simples paso ya tenemos agregado nuestro repositorio inmutable basado en Linux, aunque aún nos quedan algunos pasos.
Una vez que el repositorio aparece listo en la consola, DEBEMOS volver al servidor Linux y detener el SSH. Ingresamos con las credenciales que configuramos para el usuario vhradmin.
Seleccionamos la opción “Stop SSH” en el menú.
El sistema nos preguntará si realmente queremos detener y deshabilitar el servicio SSH. La respuesta siempre es ‘Yes‘
Esto deja al servidor incomunicable por SSH, eliminando el vector de ataque más común. Pulsamos “Logout” para salir.
Prueba de Fuego: ¿Es realmente inmutable?
Para probarlo, editaré un job de backup que apunte al nuevo repositorio inmutable.
El job de MongoDB termina con éxito y ya escribió datos en nuestro repositorio.
Podemos revisar que existe un punto de restauración almacenado en nuestro nuevo repositorio inmutable.
Ahora, lo siguiente será intentar borrarlo manualmente desde la consola de Veeam.
Como es de esperar, Veeam no nos permite eliminar el restore point. El log es claro: “Unable to delete 1 immutable backup file“. Los archivos solo podrán borrarse después del 22-01-2026.
En la siguiente publicación veremos como actualizar desde Veeam Hardened Repository al nuevo Veeam Infrastructure Appliance (VIA).
Espero que esta información pueda ser de ayuda, y cualquier duda o sugerencia la dejan en los comentarios. Saludos.