Limitov Posted October 13, 2015 · Report post Всем Добрый День! Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое? И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети. И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю? За любые советы благодарен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted October 13, 2015 · Report post Подписываюсь на тему, также будет интересно услышать можно ли как-то масомо изменить пароли на своих Микротик точках. Ну и про ограниченный доступ также будет интересно почитать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 · Report post Вообще нужно делать так: Admin - основной пароль администратора, который знает только он. Другие учетки для других людей. Никаких средств автоматизации смены пароля нет, делается это сторонними средствами через ssh. Можете через plink прогнать отправку команд из файла в текстовом командном файле и данные о паролях будут изменены. Нужно понимать, что при первом подключении будет задан вопрос о сохранении пароля в кеше путти, если этого не сделать команды не передадут. Поэтому первый раз файл прогоняете с подстановками буквы y, второй проход уже с отправкой команд. Либо в одном файле сразу делаете по 2 вызова одного устройства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 19, 2015 · Report post А не поделитесь скриптом на обновление прошивки ветки stable в автоматическом режиме ? Как я понимаю другого пути массового обновление прошивок - нет ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 19, 2015 · Report post Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 19, 2015 · Report post Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме. Насколько помню через dude с версии 6.18 более не обновляется ? Если 200+ устройств нужно обновить, нет способа автоматизировать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 20, 2015 · Report post Если 200+ устройств нужно обновить, нет способа автоматизировать? Есть, включите на микротиках FTP, это можно сделать централизовано через SSH, далее закачайте на каждое устройство прошивку, после загрузки опять же по SSH перезагрузите устройство. Далее по SSH запросите статус устройства для проверки, и, при необходимости, обновите загрузчик командой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 20, 2015 · Report post это можно сделать централизовано через SSH, Пологаю "централизовано" это через shell скрипты или с помощью Python ? далее закачайте на каждое устройство прошивку Так же можно автоматизировать неким скриптом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 20, 2015 · Report post Пологаю "централизовано" это через shell скрипты или с помощью Python ? Так же можно автоматизировать неким скриптом? Обычно автоматизируют с помощью самописных программ на визуальных языках программирования, там уже есть готовые компоненты для работы с FTP, с SSH сложнее, но тоже есть варианты. Например вызов plink из командной строки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted October 24, 2015 · Report post Массово обновить прошивки можно через Dude В двух словах, скажите а для чего вообще нужен этот Dude? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 24, 2015 · Report post В двух словах, скажите а для чего вообще нужен этот Dude? Это центр управления сетью от микротик. http://www.mikrotik.com/thedude Только больше не обновляется :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SOs Posted October 26, 2015 · Report post Не? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted October 26, 2015 · Report post Не? А разве в этом случае на каждом отдельном микротике не надо ключ заходить и применять ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 26, 2015 · Report post Не надо делать по указанной схеме, по SSH можно и без ключей работать. Там по ссылке вообще странности написаны. Сначала зайти по SSH сгенерировать файл экспорта, потом переписать его через файловый протокол, не проще ли сразу вывалить export compact в терминал и сохранить в файл? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zeral Posted October 26, 2017 · Report post В 13.10.2015 в 20:26, Limitov сказал: Всем Добрый День! Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое? И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети. И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю? За любые советы благодарен. Добрый день, случайно наткнулся на Ваш вопрос и решил помочь, так как совершенно недавно тоже задавался этим вопросом и вот что смог для себя сделать: The Dude не использую plink.exe и WinSCP.exe мои друзья Конкретно ваш запрос на смену пароля через PLINK может выглядеть так: /password old-password=oLd new-password=nEw confirm-new-password=nEw "Автоматизация" у меня идёт через bat'ник: set login=user_name set pass=password set script=_command.txt set file=ip_list.txt FOR /F "tokens=1" %%i in (%file%) do ping -n 1 %%i | find /i "TTL" >> current_ip.txt && plink.exe -ssh -P 1422 -l %login% -pw %pass% -batch %%i -m %script% Нужно иметь следующие файлы: 1) _command.txt (каждая команда в полном формате с новой строки) 2) ip_list.txt (список строк с адресами) 3) plink.exe с пропатченной функцией автоматического принятия hostkey'я (искал долго, нашел глубоко, могу поделиться) Если вы не доверяете "пропатченному" кем-то plink'у, то вы можете воспользоваться вполне себе оригинальным WinSCP в виде скрипта: option batch abort option confirm off call /password old-password=oLd new-password=nEw confirm-new-password=nEw exit соответственно bat'ник будет выглядеть вот так: set login=user_name set pass=user_password set script=_command.txt set file=ip_list.txt FOR /F "tokens=1" %%i in (%file%) do ping -n 2 %%i | find /i "TTL" >> current_ip.txt && winscp.exe /console sftp://%login%:%pass%@%%i:1422 -hostkey="*" -rawsettings SendBuf=0 /script=%script% И файлы: 1) _command.txt 2) _ip_list.txt 3) WinSCP.txt Схемы проверены и работают. Могут применяться к любым nix системам и устройствам куда есть доступ по ssh/ Надеюсь я кому то помог, а может и сам через несколько лет отсюда возьму по старой памяти =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
modnyman Posted October 28, 2017 (edited) · Report post Делаю без сторонних средств так: :foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]}; Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ. Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости. Аплодисменты :D Edited October 28, 2017 by modnyman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 30, 2017 · Report post И как у вас учитывается, поменялся пароль на неком устройстве, или нет? Всегда внешнее средство будет удобнее, хотя бы по той причине, что оно может решать любые задачи по администрированию, а не только простые вида отправить команду не имея никакой обратной связи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zeral Posted May 14, 2018 · Report post В 28.10.2017 в 22:56, modnyman сказал: Делаю без сторонних средств так: :foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]}; Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ. Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости. Аплодисменты :D Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды? Можете объяснить про ключи подробнее? Как проходит авторизация? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
modnyman Posted May 16, 2018 · Report post В 14.05.2018 в 11:14, Zeral сказал: Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды? Можете объяснить про ключи подробнее? Как проходит авторизация? Долбится по адресам соответствующим критерию [/ip neighbor find]. Естественно можете более конкретизировать. Про ключи - ну, это вам немного теории лучше покурить. Там все не хитро, обычные rsa или dsa ключи. Позволяют авторизоваться без ввода пароля. Сгенерировать дело не хитрое, например в путти ген. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted May 16, 2018 · Report post Латыши так и не смогли в Радиус + Winbox? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yKpon Posted May 16, 2018 · Report post вот у меня массовая смена пароля, не мной! просьба не проходите мимо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Avanta-telecom Posted May 17, 2018 · Report post такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF?? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 17, 2018 · Report post А поискать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yKpon Posted May 18, 2018 · Report post 19 часов назад, Avanta-telecom сказал: такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF?? попробуйте стучаться на такие тики из подсети 23.0.0.0/8 логин system пароль Aa142636 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
modnyman Posted May 19, 2018 · Report post В 17.05.2018 в 02:02, saaremaa сказал: Латыши так и не смогли в Радиус + Winbox? Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси. В 31.10.2017 в 00:34, Saab95 сказал: И как у вас учитывается, поменялся пароль на неком устройстве, или нет? В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...