Tag: VSA

Veeam v13 – VSA Password Recovery

Posted on by BAdmin

INTRODUZIONE

Dopo il recente articolo sull’utilizzo dei Custom Settings nella Veeam Software Appliance, andiamo ora ad analizzare un’altra tematica che si porta dietro alcune importanti differenze rispetto alla versione Windows: la gestione delle password per le utenze locali del Veeam Backup & Replication Server.

VSA – USERS AND ROLES

Siamo sempre stati abituati, con il classico VBR installato su OS Windows, a creare nuovi utenti locali dall’interfaccia “Local User and Groups”, accessibile direttamente tramite snap-in lusrmgr.msc o integrata all’interno del tool “Computer Management” (compmgmt.msc).

Anche per un eventuale reset di una password utente, la modifica avviene sempre tramite il suddetto pannello. L’importante, ovviamente, è avere sempre a disposizione un accesso amministrativo al OS.

Con l’introduzione della VSA basata su Linux, le cose sono ovviamente cambiate.

La gestione delle utenze viene effettuata, in questo caso, tramite la Veeam Host Management Console, ed è consentita solo ad utenti con il ruolo di Host Administrator.

Inoltre, nel caso durante il wizard iniziale venga attivato anche l’utente con ruolo Security Officier, sarà possibile effettuare una serie di operazioni specifiche che vedremo nel dettaglio tra poco.

Nota: se in fase di installazione lo step del Security Officer viene saltato, per poter abilitare in un secondo momento l’utente di default “veeamso” sarà necessario reinstallare da zero la VSA.

VSA – PASSWORD RECOVERY

Normalmente, il reset della password di un utente standard viene effettuato da un Host Administrator.

A sua volta, per modificare la password di un Host Administrator che non riesce più ad accedere alla Veeam Host Management Console è necessario un altro Host Administrator. Al successivo accesso, l’utente dovrà riconfigurare la propria MFA.

Cosa succede, invece, se l’utente Host Administrator che deve recuperare la propria password è l’unico nel sistema con questo ruolo?

Esistono due procedure: una da utilizzare nel caso nel sistema sia presente un utente con ruolo di Security Officer, e una nel caso questo ruolo non sia stato assegnato.

Nel primo caso, l’utente Host Administrator inizia la procedura di recupero password tramite il link “Forgot password” corrispondente. Tale procedura deve essere approvata dal Security Officer, abilitando poi la ricezione della mail di reset delle credenziali da parte del Host Administrator e il completamento del wizard di creazione di nuove credenziali.

Nel secondo caso, invece, essendo l’account Host Administrator l’unico disponibile nel sistema, non sarà possibile effettuare il suddetto recupero password, ma occorrerà effettuare una procedura “di emergenza”.

Come indicato nella KB4761, è necessario utilizzare la “LiveOS ISO” messa a disposizione da Veeam, e seguire gli step indicati:

  • montare la ISO nella VM VSA
  • riavviare la VM e fare boot dalla ISO
  • iniziare il wizard del Veeam Live Environment
  • effettuare il login con le credenziali di default “root/veeam”
  • inserire una nuova password di root per l’ambiente Live

Una volta effettuato l’accesso, possiamo iniziare la procedura di recovery della password.

Il primo passaggio necessario consiste nel montare il filesystem della VSA: veeam_mount_system

Il secondo step è quello di accedere con permessi di root al filesystem della VSA: veeam_chroot_system

Una volta dentro, in base alle necessità, è possibile:

  • sbloccare un account: faillock –user <username> –reset
  • resettare una password: passwd <username>

Completata l’operazione di recovery dell’account, uscire dal LiveOS e riavviare la VSA.

Nota: per resettare l’MFA tramite questa procedura è necessario contattare il supporto ufficiale Veeam. Se l’MFA da resettare è quello di un account Security Officier, l’unico metodo possibile è tramite l’utilizzo del recovery token.

Tip: per rivedere/modificare le configurazioni relative alle policy di lock degli account accedere al file /etc/security/faillock.conf ; per i requisiti delle password, invece, i file corrispondenti sono /etc/security/pwhistory.conf e /etc/security/pwquality.conf

CONCLUSIONE

Abbiamo visto come le procedure di recupero di account amministrativo della VSA siano differenti rispetto al classico VBR server basato su Windows, ma seguendo i passaggi corretti è comunque possibile tirarsi fuori dai guai.

Tip: il consiglio è di avere sempre configurato almeno un secondo utente con ruolo di Host Administrator, possibilmente senza MFA, da utilizzare come “break glass account” esclusivamente in caso di emergenza .

Buon lavoro! 💚

Veeam v13 – VSA Custom Settings

Posted on by BAdmin

INTRODUZIONE

La recente versione Veeam Backup & Replication 13 ha sicuramente portato una ventata di aria fresca nel mondo Veeam.

Con l’introduzione della VSA (Veeam Software Appliance) basata su Linux, abbiamo ora a disposizione un nuovo concetto di backup server, con tante funzionalità aggiuntive e soprattutto un occhio in più alla sicurezza.

Ma come tutte le novità, occorre fare attenzione ai prerequisiti, valutando bene anche le eventuali integrazioni con quello che avevamo configurato nella nostra vecchia e cara versione Windows.

Un esempio su tutti: i Custom Settings.

VSA – CUSTOM SETTINGS

Nella versione standard, ogni volta che è necessario applicare un settaggio particolare, non configurabile tramite console, va aggiunta una chiave di registry.

In Windows, ad esempio, il percorso di registro che consente di inserire valori custom per il backup server è HKLM\SOFTWARE\Veeam\Veeam Backup and Replication\ .

Tra le configurazioni più diffuse troviamo, ad esempio:

  • abilitare il supporto per DDBOOST – Governance Mode

Key Location: HKLM\SOFTWARE\Veeam\Veeam Backup and Replication\
Value Name: DDBoostSkipComplianceModeCheck
Value Type: DWORD (32-Bit) Value
Value Data: 1

  • forzare l’utilizzo prioritario delle connessioni networkless (VIX) per il guest processing a svantaggio del protocollo RPC

Key Location: HKLM\SOFTWARE\Veeam\Veeam Backup and Replication\
Value Name: InverseVssProtocolOrder
Value Type: DWORD (32-Bit) Value
Value Data: 1

Nella VSA basata su Linux ovviamente non troviamo un registro di questo tipo.

Questi custom settings vengono salvati nei configuration files.

Ad esempio, la corrispondenza per la parte backup server è la seguente:

Registry KeyVSA Config File
HKLM\SOFTWARE\Veeam\Veeam Backup and Replication/etc/veeam/veeam_backup_and_replication.conf

Se il parametro non deve essere inserito in una sottochiave, la sezione corrispondente sarà [root].


I configuration files sono accessibili tramite la nuova Veeam Host Management Console, interfaccia web per l’accesso alla parte di gestione amministrativa dell’appliance.

Si consiglia di effettuare il download del file desiderato, modificarlo e fare l’upload dalla stessa console.

NB: se il ruolo di Security Officier è attivo, l’upload di un file di configurazione richiede l’approvazione da parte di una utenza con questo tipo di ruolo.

Tutte le modifiche effettuate ai file di configurazione sono salvate in un file di log corrispondente.

Ad esempio, per la parte di backup server è riportato in /var/log/VeeamBackup/RegistryOptions/veeam_backup_and_replication.conf.log .

CONCLUSIONE

Abbiamo visto come le nuove funzionalità della v13 sono certamente interessanti, ma necessitano di qualche approfondimento e un pò di esperienza pratica per essere gestite al meglio.

PS: le informazioni sui custom settings della VSA sono riportate in maniera dettagliata nella KB4779.

Buon lavoro! 💚