Der einzig richtige Schutz bei einem Malwarebefall sind die Backups. Deshalb sind diese jedoch auch mitunter, das erste Ziel bei einem gezieltem Angriff. Damit die Backups nicht überschrieben oder gelöscht werden können, bietet Veeam sogenannte „Immutable Backups“ an. Dieses ist in jeder Veeam Edition enthalten und kosten nichts zusätzlich – sogar in der kostenlosen Community Edition.
Dies sind gehärtete Linuxserver (basierend z.B. auf Ubuntu), welche mit XFS als Dateisystem erweitere Flags zugeordnet bekommen können. Ubuntu kostet ebenfalls nichts (sofern man keinen Supportvertrag benötigt).
Danach wird über Veeam ein sogenanntes Immutable Repository angelegt. In diesem Repository kann man dann angeben, wie lange die Dateien nicht gelöscht oder verändert werden dürfen.
Die Umsetzung ist auch nicht schwierig – alle Informationen habe ich hier dazu zusammengetragen:
Weitere Gedanken zum Thema:
- Festplattenverschlüsselung unter Linux ist schwierig (z.B. weil das Passwort nach jedem Boot manuel eingegeben werden müsste) – einfacher ist es, die Backups im Job zu verschlüsseln.
- Veeam Repo-User die sudoers Rechte entziehen.
- Firewall lokal sollte angeschaltet bleiben, die Ports müssen entsprechend freigegeben werden.
- Eigene Zugangsdaten verwenden, welche nicht geshared werden – sollte klar sein.
- Eigenes Subnetz, mit sehr begrenzten Zugriffen – sollte ebenfalls klar sein.
- Besondere Vorsichtig sollte man bei dem Härten des Servers sein, da dabei root entfernt wird, „sudo“ Rechte entzogen werden und SSH deaktiviert wird (https://www.veeam.com/blog/backup-repository-security-disa-stig-ubuntu-step-by-step-guide.html und https://public.cyber.mil/stigs/downloads/).
- Achten sollten man auch darauf, wie der Server seine Uhrzeit bezieht – da diese die Grundlagen für die Immutable Backups sind (https://www.veeam.com/blog/securing-hardened-repository-against-remote-time-attacks.html).
- Um den Zugriff so sicher wie möglich zu gestalten, könnte man z.B. den Zugriff über ein eigenes iLO/iDRAC Interface gestalten – nachdem der Zugriff über SSH deaktiviert ist (systemctl disable ssh, systemctl stop ssh), kann man nur noch über diesen Weg auf den Server zugreifen. Wenn dann auch noch physikalisch das Kabel abgezogen ist, gibt es keinen Weg mehr auf den Server ohne physischen Zugriff.
- Den Zugriff über die Firewall ebenfalls absichern (zum Repository hin TCP 6162 und TCP 2500:3300).
Weitere Informationen: https://bp.veeam.com/vbr/Security/infrastructure_hardening.html
Uhrzeit einrichten unter Ubuntu: https://howtodotech.de/zeitzone-in-3-schritten-einstellen-ubuntu-18-server/
