システム時刻変更を検出し、不変属性の変更をロック、バックアップデータの変更、削除が実施できない状態を維持[Veeam Backup & Replication]


堅牢化(Hardened)Linuxリポジトリでバックアップを保持している場合、手動でのバックアップファイルやVeeam Backupコンソールからのバックアップの削除はバックアップファイルに設定された不変属性により妨げられ、実施できません。

こらによりランサムウェア等のマルウェアからの攻撃を防いでいますが、この不変属性の管理はあくまでも堅牢化Linuxリポジトリ上のシステム時刻に基づいて実施しています。リポジトリやジョブ(GFS設定)で構成された不変期間を超えたバックアップファイルに対して不変属性を解除して削除可能にすることで、世代管理に基づいてバックアップファイルを削除しています。

つまり、不変期間をよりもバックアップファイルが古くなれば、削除できるようになるため、システム時刻を未来にしてしまえば、削除できるようになるわけです。

このような攻撃を想定して実装されている仕組みがタイムシフト検出です。10分ごとに現在のUTC時間 (systemTime)とハードウェア時間(hwTime)を参照し記録、現在の値と以前の値の差を計算、24時間を超えている場合、バックアップファイルに設定された不変属性を堅牢化Linuxリポジトリ上のVeeamサービスが変更できないようにします。

これにより、このようなタイムシフトで無理やりバックアップファイルを削除しようとしてくるような攻撃を無効化、最後の砦となるバックアップをマルウェア等の攻撃から守ることが可能です。

また、タイムシフトが検出されている状態ですと、Veeamのバックアップやバックアップコピージョブ実行時に下記の警告が表示され、不変属性を変更できない状態であり、対処が必要であることを促します。

A problem occurred during setting the immutable flag: repository time shift detected, immutability flag cannot be set. Please refer to KB4482 for more details

ただ、この仕組みは、以下のようなユーザによる任意のタイムシフトによっても検出され、上記警告が発生する場合があります。

  • 管理者によるシステム時間の意図的に変更した場合
  • Linuxマシンの電源を長時間オフにした場合
  • 時刻の追跡に使用されるVeeamTransportサービスが停止している場合
  • 過去に堅牢化Linuxリポジトリとして使用されていた、既にtimeLogファイルが存在するLinux OSを再度、堅牢化Linuxリポジトリとして追加した場合

このようなケースでは手動対応が必要であり、この対処方法は下記で解説しています。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください