Veeam Hardened Repository: Setup Completo
Respuesta directa
Veeam Hardened Repository (introducido en v11) es la forma on-premise más barata y robusta de implementar backup inmutable. Servidor Linux dedicado con flag chattr +i en los archivos de backup impide borrado aun por root. Setup completo en ~2 horas con esta guía.
Cómo funciona el Hardened Repository
Hardened Repository es un servidor Linux (Ubuntu, RHEL, SLES) donde Veeam B&R escribe backups vía SSH con usuario no-root. Veeam aplica chattr +i (atributo immutable) en cada archivo de backup por X días. Aun si un atacante roba credenciales root y ejecuta rm -rf, el SO retorna 'Operation not permitted'. La inmutabilidad se quita solo automáticamente tras el período de retention. Solución práctica para 80% de las PYMEs sin presupuesto para S3 Object Lock.
Errores frecuentes en la implementación
- 1.Hardened Repository en el mismo dominio AD. Si el AD cae, el atacante usa credencial domain para SSH/sudo en el Hardened. Use auth local SIEMPRE.
- 2.Usuario Veeam con sudo NOPASSWD genérico. Permita SOLO chattr en sudoers, nada más. Línea exacta: 'veeamrepo ALL=(ALL) NOPASSWD: /usr/bin/chattr +i /backup/*, /usr/bin/chattr -i /backup/*'.
- 3.Saltarse la prueba de inmutabilidad. La configuración errónea es silenciosa: parece funcionar. Pruebe con intento real de rm como root el primer día.
- 4.Hardened en VM en el mismo cluster ESXi cifrado. Defecto catastrófico: si el cluster cae, el Hardened cae junto. Use servidor físico O VM en cluster separado/cloud.
Setup en 6 pasos (~2 horas)
- 1
Provea servidor Linux dedicado
Ubuntu 22.04 LTS minimal install o RHEL 9. Servidor físico o VM con 8GB RAM, 4 vCPU y almacenamiento dedicado (ext4 o XFS). No coloque otras workloads.
- 2
NO una al Active Directory
Linux con autenticación local solamente. Si el AD cae, el Hardened Repository debe sobrevivir.
- 3
Cree usuario local no-root para Veeam
adduser veeamrepo. Defina contraseña fuerte (20+ chars). Configure SSH con clave pública (no contraseña) y deshabilite SSH root login.
- 4
Otorgue permiso de chattr al usuario
Agregue a sudoers permitiendo solo /usr/bin/chattr +i y -i. Documente exactamente en /etc/sudoers.d/veeam.
- 5
Añada en Veeam Console
Backup Infrastructure → Backup Repositories → Add Repository → Linux. Apunte al servidor + usuario creado. Marque 'This repository is hardened'. Defina retention mínima (30-90 días recomendado).
- 6
Pruebe inmutabilidad
Tras el primer backup, conéctese vía SSH como root e intente rm en archivo de backup: debe retornar 'Operation not permitted'. Intente chattr -i: debe fallar por sudoers. Documente la prueba.
Preguntas frecuentes
¿Funciona con Veeam Community Edition?
Sí — Veeam Backup & Replication v11+ Community Edition (gratis hasta 10 instancias) soporta Hardened Repository.
¿Qué tamaño de servidor necesito?
Regla práctica: 1,2× el volumen de backups + 30% para crecimiento. Para 10TB de backups, dimensione ~15TB de disco útil.
¿Puedo usar storage SAN?
Sí, con cuidado. SAN compartido con producción es riesgo. Idealmente JBOD o DAS dedicado. ZFS dataset funciona bien con snapshots adicionales.
¿Funciona con distro Linux X?
Oficialmente: Ubuntu 20.04/22.04, RHEL 8/9, SLES 15. Otros funcionan técnicamente pero sin soporte Veeam.
¿Cómo recuperar cuando el servidor Hardened cae?
El backup del propio Hardened (configuración) debe exportarse regularmente. Ante falla, Veeam Console agrega el disco existente del Hardened como nuevo repositorio, manteniendo los archivos inmutables intactos.
¿Quiere apoyo para implementar Hardened Repository?
Consultoría + setup + validación. Implementación típica en 1 día hábil.