Déployer un Veeam Hardened Repository (VHR) via l’ISO Veeam : le guide complet

Le Veeam Hardened Repository (VHR) est une brique essentielle pour renforcer la sécurité de votre infrastructure de sauvegarde. Avec l’augmentation des cyberattaques, notamment les ransomwares, il devient primordial d’adopter une approche immuable du stockage. Veeam propose unmoyen simple et sécurisé de mettre en œuvre un Veeam Hardened Repository (VHR) à l’aide d’une ISO Linux personnalisée basée sur Rocky Linux. Dans cet article, je te guide étape par étape pour installer et configurer ton VHR en suivant les préconisations officielles Veeam.

 

1. Pourquoi utiliser l’ISO VHR de Veeam ?
2. Prérequis
3. Installation via l’ISO
4. Configuration du VHR
5. Ajouter le VHR dans Veeam

 

1. Pourquoi utiliser l’ISO VHR de Veeam ?

Il est possible d’installer le VHR (Veeam Hardened Repository) en utilisant une distribution Linux (Debian, Ubuntu ou RHEL). La configuration est à réaliser manuellement, de même que le hardening du serveur (sa sécurisation).

L’ISO fournie par Veeam permet de déployer un serveur Linux préconfiguré pour héberger un repository immuable, sans avoir à bricoler la sécurité manuellement.

Outre le fait d’être extrêmement facile à déployer, il a de multiples avantages :

• ISO basée sur Rocky Linux, distribution libre et compatible RHEL,

• Partitionnement automatique avec XFS + reflink,

• Utilisateur vhradmin sans droits root, avec sudo désactivé,

• SSH désactivé par défaut pour plus de sécurité,

• Prêt à l’emploi avec Veeam Backup & Replication.

 

2. Prérequis

La mise en place d’un VHR nécessite certains prérequis.

Commencez par  télécharger l’ISO officielle depuis le site de Veeam ici : Télécharger l’ISO VHR

Attention, un compte Veeam est nécessaire afin de pouvoir le télécharger.

Vous devez ensuite prévoir certaines configuration avant déploiement du VHR via l’ISO Veeam :

• La version de Veeam Backup & Replication utilisée doit être la 12.2 ou supérieure

• Il est nécessaire d’avoir 1 serveur physique ou une VM dédiée. Le VHR prendra toutes les ressources en s’installant.

• Le secure boot UEFI doit être activé.

• Aucun logiciel de sécurité tiers ne doit être installé sur le serveur pour garantir la sécurité du système.

• 2 vCPU minimum (4+ recommandé).

• 4 Go de RAM minimum (8 Go recommandé).

• Seuls les contrôleurs RAID matériels sont pris en charge.

• Le serveur doit disposer d’au minimum 2volumes de stockage :

  • Un 1er volume séparé pour le système d’exploitation (minimum 100 Go). Je vous recommande un raid 1.

  • Un ou plusieurs volumes supplémentaires pour les données (chacun devant être plus grand que le volume système). Ces volumes serviront de stockage pour le repository, c’est donc ici vous que vous devez avoir accès d’espace de stockage pour vos backups.

ℹ️ L’ISO configure automatiquement le partitionnement, le système de fichiers (XFS avec reflink) en fonction des volumétries du stockage (le plus petit sera le système et le plus gros en XFS pour le stockage des sauvegarde).

Dans ce tuto, j’utilise l’iso VeeamHardenedRepository_2.0.0.8_20250117 avec une machine virtuelle.

 

3. Installation du VHR

Une fois votre .iso téléchargé, montez le sur une VM ou un serveur physique afin de pouvoir démarrer dessus.

ℹ️ Pour l’installation sur un serveur physique, utilisez rufus pour créer votre clé usb bootable.

 

Cliquez sur Install Hardened Repository (deletes all data)

 

📌 Important : si vous avez ce message d’erreur, c’est que vous n’avez pas respecté les prérequis du stockage.

 

Nous avons 3 configurations possible au travers de cet écran :

• Le type de clavier et la langue associé
• La date et l’heure
• Le nom du système et les paramètres réseaux

 

Commençons par configurer le type de clavier et la langue associé en cliquant sur  Keyboard.

 

Cliquez sur le symbole + pour ajouter une langue

 

Dans mon cas, j’ai sélectionné la langue French (AZERTY)

Cliquez sur Add pour l’ajouter

 

Vous pouvez supprimer la langue English US en utilisant le bouton avec le symbole -

Cliquez sur le bouton Done en haut à gauche pour enregistrer vos configurations.

 

Continuons en configurant la date et l’heure en cliquant sur  Date & Time.

 

Sélectionnez votre fuseau horaire et votre ville.

Cliquez sur le bouton Done en haut à gauche pour enregistrer vos configurations.

 

Terminons en configurant le réseau en cliquant sur  Network & Host Name.

 

Dans mon cas, j’ai une seule carte réseau Network (ens192).

Sélectionnez votre carte réseau et cliquer sur Configure... pour accéder à sa configuration.

 

Rendez-vous dans l’onglet IPv4 Settings

 

 

Pour un adresse IP statique, sélectionnez la method Manual puis ajouter vos paramètres IP en cliquant sur Add

Certains autres paramètres peuvent être ajouter tel que DNS servers et Search domains

Cliquez sur Savepour valider

 

Cliquez sur le bouton Done en haut à gauche pour enregistrer vos configurations.

 

Le programme d’installation se chargeant de tout installer et configurer automatiquement, le bouton système est grisé.

Cliquez sur Begin Installation pour lancer l’installation avec tous vos paramètres.

 

 

L’assistant vous informe que tous les systèmes seront formatés. Cliquez sur Yes

 

Patientez durant l’installation…

 

L’installation est maintenant terminé. Cliquez sur Reboot System. Votre système va redémarrer et lancer le système.

 

Le boot s’effectue sur la première option Rocky Linux (5.14...) 9.2 (blue Onyx)

 

 

4. Configuration du VHR

Une fois votre serveur VHR demarré, vous pouvez vous y connecter.

Une fois la machine redémarrée, connectez vous via la console avec l’utilisateur vhradmin, puis il vous sera demandé de changer le mot de passe. Par défaut, le mot de passe estvhradmin.

Il vous sera immédiatement demandé de changer ce mot de passe.

 

 

Si vous ne changer pas le mot de passe, la connexion sera impossible !

Prenez le temps de le modifier, avec une politique extrêmement compliquée.

 

Acceptez le contrat de licence

Vous voila maintenant connecté à la console d’administration de votre VHR.

 

Pour commencer, nous allons activer le SSH. Celui-ci permettra la connexion de notre Veeam Backup pour configurer ensuite le Backup Repository.

 

Sélectionnez Start SSH.

 

La console vous générera automatiquement le mot de passe du compte veeamsvc. Noter bien ces identifiants, ils vous seront utile pour la configuration sous Veeam Backup et ne seront plus visible.

📌 Important : N’oubliez pas de le désactiver une fois l’intégration du VHR terminée!

 

Pour cela, retournez sur la console du VHR, et sélectionnez Stop SSH.

 

5. Ajouter le VHR dans Veeam

La configuration du serveur VHR est terminée, nous pouvons maintenant passer à la configuration coté Veeam Backup.

Ouvrez votre console Veeam Backup.

Rendez-vous dans Backup Infrastructure puis Backup Repositories et cliquez sur Add Repository

 

Cliquez sur Direct attached storage

 

Cliquez sur Linux (Hardened Repository)

 

Renseignez les informations suivantes :

• Nom de votre Backup Repository (obligatoire) vous permettant de l’identifier dans la console Veeam.
• Description de votre Backup Repository (facultatif)

Cliquez sur Next>

 

Vous devez d’abord ajouter le serveur VHR en tant que serveur managé par Veeam.

Pour cela, cliquez sur Add new...

 

Renseignez les informations suivantes :

• Nom DNS ou adresse IP de votre serveur VHR afin de pouvoir s’y connecter. Dans mon cas, le nom de la VM est veeam-vhr.
• Description

Cliquez sur Next>

 

La connexion s’effectue avec des identifiants à usage unique. Ces sont les identifiants visible sur la console Veeam.

📌 Important : Si vous ne les avez pas noté, vous devez désactiver et réactiver le ssh pour en générer de nouveaux !

Cliquez sur Add

 

Renseignez alors le login veeamsvc et le mot de passe associé.

Cliquez sur OK pour enregistrer les identifiants

 

Cliquez sur Next>

 

Validez l’emprunte ssh en cliquant sur Yes

 

Les composants vont être déployés sur le VHR.

Cliquez sur Apply

 

L’opération est terminée.

Cliquez sur Next>

 

Cliquez sur Finish

 

Votre serveur VHR est maintenant ajouté à la console Veeam, vous pouvez continuer sur la configuration du Backup Repository.

Cliquez sur Next>

 

Il faut sélectionner le répertoire pointant sur le stockage XFS qui se trouve dans /mnt/veeam-repository01

Cliquez sur Browse... pour naviguer dans votre serveur et sélectionner ce répertoire.

 

Cette page vous permet de configurer une option très importante : la durée de l’immutabilité de vos données.

Par défaut de 7 jours, vous pouvez la modifier en fonction de vos besoins.

Attention tout de suite, plus l’immutabilité est grande, plus vous aurez besoin d’espace de stockage !

Cliquez sur Next>

 

 

Cliquez sur Next>

 

Cliquez sur Apply

 

Cliquez sur Next>

 

Cliquez sur Finish

 

Vous avez terminé l’ajout de votre Backup Repository immuable.

Celui-ci peut maintenant être utilisé comme destination de Backup dans vos jobs de sauvegardes.

 

📌 Important : N’oubliez pas de désactiver le ssh !