Skip to main content

Veeam Linux Hardened repos - anssi-bp028-high support

BertrandFR
Forum|alt.badge.img+8

La dernière MAJ de Veeam VBR 12.1.2.172 sortie le 21 mai 2024 a amené le support du profil de durcissement DISA-STIG pour les repos sur les OS Linux, Rocky, Alma et RHEL 8/9.

KB4510: Release Information for Veeam Backup & Replication 12.1 and Updates

Cela nous mène à la perspectives que les daemons utilisés ont été adaptés pour prendre en compte ce profil.

Mais Quid du profil anssi-bp028-high?

ANSSI-BP-028 security recommendations updated to version 2.0 (redhat.com)

Guide to the Secure Configuration of Red Hat Enterprise Linux 9 (open-scap.org)

Certaines remarques ci-dessous valent pour l’installation “dvd full”, nous avons remarqué un comportement non contraignant via l’installation “minimal” en laissant faire l’installeur automatiquement certaines configurations. Ces dernières seront identifiés par **

Nous allons prendre comme base de travail l’excellent blog post fait par Hannes:
Install DISA STIG Red Hat Linux for Veeam Repository

  • Vous allez devoir sélectionner le profil ANSSI

  •  

  • Le compte root doit être configuré/initialisé, sinon vous serez bloqué pour installer les paquets et vous ne serez pas autorisé à modifier les fichiers sudoers en raison du durcissement du système d'exploitation. Après l'installation, vous pouvez désactiver le compte root ou restreindre la connexion ssh.
  • Vous aurez besoin d'un compte root pour modifier le fichier fstab. L'utilisateur créé lors de l'installation, bien que faisant partie du groupe WHEEL, et la case à cocher « faire de cet utilisateur un administrateur » ne suffiront pas.
  •  Vous devez commenter temporairement dans sudoers la valeur Default noexec. Si vous ne modifiez pas le fichier sudoers, l'installateur échouera lors de l'installation des composants veeam requis pendant la création du VHR. **
  • Après installation des daemon, si vous ne redémarrez pas le VHR avant de configurer le repos dans la console, vous ne verrez pas le disque désiré s'afficher lorsque vous cliquerez sur le bouton Populate.
    Vous pouvez également résoudre ce problème sans redémarrer en effectuant un rescan scsi.
    (Rescan SCSI bus on Linux System - GeekPeek.Net)
  • Vous aurez besoin de deux partitions supplémentaires pour le durcissement ANSSI par rapport au durcissement DISA STIG.
    /opt and /srv

Ce profil de durcissement n’est pas supporté officiellement, néanmoins du moment tant que vous restez dans la matrice de compatibilité de support OS par Veeam, cela sera bon.

System Requirements - User Guide for VMware vSphere (veeam.com)

Vous pouvez bien évidemment automatiser ce processus avec Ansible/Foreman :)

 

N’hésitez pas à nous remonter vos remarques!

    0 comments

    Be the first to comment!

    Comment


    Terms & Conditions