Con l'introduzione della funzione di Immutability in Veeam Backup & Replication v11, l'Hardened Repository richiede una specifica procedura per essere aggiornato.
Un normale aggiornamento per questo tipo di repository non può essere effettuato nella maniera "classica" dovuto alle restrizioni applicate durante la procedura di configurazione del repository stesso.
Come aggiornare un Hardened Repository
Quando una nuova versione o patch viene rilasciata da Veeam, quando si cerca di installare l'aggiornamento nel repository, questo fallisce.
Questo è un comportamento del tutto atteso poichè Veeam non ha le credenziali salvate da nessuna parte per poter accedere all'Hardened Repository. Se il repository è stato configurato seguendo le best practice, l'opzione Single-use credentials for hardened repository è stata utilizzata per connettere Veeam al repository.
Inoltre, l'account utilizzato da Veeam per connettersi al repository non ha nessun permesso per effettuare operazioni nella macchina Linux poichè non è membro del gruppo sudo.
Per installare l'aggiornamento, il primo step è abilitare il servizio SSH e reinserire il service account nel gruppo sudo.
Abilitare l'accesso remoto al proprio repository ed effettuare il login con l'account che ha i permessi di amministratore configurato durante l'installazione del repository Linux.
Abilitare il servizio SSH ed aggiungere il service account Veeam al gruppo sudo tramite il comando:
# sudo systemctl start ssh.service
# sudo usermod -a -G sudo locveeam
Accedere alla console di Veeam e selezionare dal menu la voce Settings > Upgrade. Durante l'aggiornamento dei componenti Veeam per installare la versione 11a, l'Hardened Repository non era stato processato.
Selezionare l'Hardened Repository da aggiornare e cliccare su Apply.
Cliccare Yes per continuare.
Cliccare sul bottone Set User e selezionare l'opzione Single-use credentials for hardened repository.
Inserire lo Username del service account utilizzato e la Password. Cliccare su OK.
Cliccare OK per confermare.
Questa volta il repository è stato correttamente aggiornato. Cliccare Finish per uscire dal wizard.
Dalla console del repository, rimuovere il service account utilizzato in Veeam dal gruppo sudo ed uscire. Ricordarsi di disconnettere qualsiasi sistema di accesso remoto (iLO, iDRAC, etc.) dal proprio repository.
# sudo deluser locveeam sudo
# sudo systemctl stop ssh.service
L'Hardened Repository è ora aggiornato alla versione corrente installata nel proprio Veeam Server.
Veeam Backup & Replication v11a è disponibile per essere scaricato come 30-day free trial.






















Salve Paolo, i tuoi sono davvero ottimi post! una sola curiosità: c'è una motivazione in particolare per la quale l'aggiornamento dell'Hardened Repository, seguendo le necessarie impostazioni relativamente alla sua accessibilità a fini manutentivi, non possa/debba essere eseguito contestualmente all'aggiornamento di Veeam alla versione 11a?
Mi chiedo se il fatto che l'aggiornamento di tale componente sia stato trattato come un passaggio da eseguire a parte "post-update" del Veeam sia legato solamente alla necessità di meglio rendere chiaro che tale processo di aggiornamento necessita di alcuni accorgimenti specifici rispetto all'intero processo di update dello stesso Veeam (accorgimenti che hai ben evidenziato!) oppure se è frutto di una sorta di buona pratica Veeam da adottare in tali casi? lo chiedo per capire se il passaggio da 11 ad 11a (comprensivo dell'aggiornamento di tutti i vari componenti, incluso l'Hardened Repository), predisponendosi opportunamente con tutto il necessario, non possa essere tranquillamente concluso in un singolo passaggio.
Saluti, Davide.
Se l'aggiornamento fosse in grado di apportare le modifiche richieste, chi dice che l'operazione in esecuzione è un aggiornamento o un attacco ransomware ad esempio?
Se l'Hardened Repository è stato configurato come da best practice, sono almeno tre i motivi per cui non è possibile (e non deve esserlo!) fare l'aggiornamento diretto da Veeam:
1. Veeam non ha le credenziali salvate quindi non saprebbe come effettuare operazioni di login alla macchina.
2. L'utente con cui Veeam effettua l'operazione di salvataggio del backup non ha nessun permesso per eseguire programmi nel repository poichè non è membro del gruppo sudo.
3. L'accesso SSH è disabilitato.
Lo scopo è ovviamente quello di rendere l'Hardened Repository il meno vulnerabile possibile ed accessibile solo da un account specifico con permessi molto limitati.