Veeam Hardened Repository: Setup Completo
Resposta direta
Veeam Hardened Repository (introduzido na v11) é a forma on-premise mais barata e robusta de implementar backup imutável. Servidor Linux dedicado com flag chattr +i nos arquivos de backup impede deleção mesmo por root. Setup completo em ~2 horas com este guia.
Como funciona o Hardened Repository
Hardened Repository é um servidor Linux (Ubuntu, RHEL, SLES) onde Veeam B&R escreve backups via SSH com um usuário não-root. Veeam aplica chattr +i (atributo immutable) em cada arquivo de backup por X dias. Mesmo se um atacante roubar credenciais root e fizer rm -rf, o sistema operacional retorna 'Operation not permitted'. Imutabilidade só é removida automaticamente após o período de retention configurado. Solução prática para 80% das PMEs sem orçamento para S3 Object Lock.
Erros frequentes na implementação
- 1.Hardened Repository no mesmo domínio AD. Se o AD cai, atacante usa credencial domain para SSH/sudo no Hardened. Use auth local SEMPRE.
- 2.Usuário Veeam com sudo NOPASSWD genérico. Permita APENAS chattr no sudoers, nada mais. Linha exata: 'veeamrepo ALL=(ALL) NOPASSWD: /usr/bin/chattr +i /backup/*, /usr/bin/chattr -i /backup/*'.
- 3.Pular o teste de imutabilidade. Configuração errada é silenciosa: parece funcionar. Teste com tentativa real de rm como root no primeiro dia.
- 4.Hardened em VM no mesmo cluster ESXi cifrado. Defeito catastrófico: se o cluster cai, o Hardened cai junto. Use servidor físico OU VM em cluster separado/cloud.
Setup em 6 passos (~2 horas)
- 1
Provisione servidor Linux dedicado
Ubuntu 22.04 LTS minimal install ou RHEL 9. Servidor físico ou VM com 8GB RAM, 4 vCPU e armazenamento dedicado (ext4 ou XFS). Não coloque outras workloads.
- 2
NÃO una ao Active Directory
Linux com autenticação local somente. Se o AD cair, o Hardened Repository deve sobreviver.
- 3
Crie usuário local não-root para Veeam
adduser veeamrepo. Defina senha forte (20+ chars). Configure SSH com chave pública (não senha) e desabilite SSH root login.
- 4
Conceda permissão de chattr ao usuário
Adicione ao sudoers permitindo apenas /usr/bin/chattr +i e -i. Documente exatamente no /etc/sudoers.d/veeam.
- 5
Adicione no Veeam Console
Backup Infrastructure → Backup Repositories → Add Repository → Linux. Apontar para o servidor + usuário criado. Marcar 'This repository is hardened'. Definir retention mínima (recomendado 30-90 dias).
- 6
Teste imutabilidade
Após primeiro backup, conecte via SSH como root e tente rm em arquivo de backup: deve retornar 'Operation not permitted'. Tente chattr -i: deve falhar pelo sudoers. Documente o teste.
Perguntas frequentes
Funciona com versão Community do Veeam?
Sim — Veeam Backup & Replication v11+ Community Edition (gratuito até 10 instâncias) suporta Hardened Repository.
Qual o tamanho de servidor necessário?
Regra prática: 1,2× o volume dos backups + 30% para crescimento. Para 10TB de backups, dimensione ~15TB de disco útil.
Posso usar storage de SAN?
Sim, mas com cuidado. SAN compartilhada com produção é risco. Idealmente JBOD ou DAS dedicado. ZFS dataset funciona bem com snapshots adicionais.
Funciona com Linux distro X?
Oficialmente: Ubuntu 20.04/22.04, RHEL 8/9, SLES 15. Outros funcionam tecnicamente mas sem suporte Veeam.
Como recuperar quando o servidor Hardened cai?
Backup do próprio Hardened (configuração) deve ser exportado regularmente. Em caso de falha, Veeam Console adiciona o disco existente do Hardened como novo repositório, mantendo os arquivos imutáveis intactos.
Quer apoio para implementar Hardened Repository?
Consultoria + setup + validação. Implementação típica em 1 dia útil.