Jump to content
Калькуляторы

Массовая смена пароля на устройствах Mikrotik

Всем Добрый День!

Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое?

И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети.

И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю?

За любые советы благодарен.

Share this post


Link to post
Share on other sites

Подписываюсь на тему, также будет интересно услышать можно ли как-то масомо изменить пароли на своих Микротик точках.

Ну и про ограниченный доступ также будет интересно почитать.

Share this post


Link to post
Share on other sites

Вообще нужно делать так:

 

Admin - основной пароль администратора, который знает только он.

Другие учетки для других людей.

 

Никаких средств автоматизации смены пароля нет, делается это сторонними средствами через ssh. Можете через plink прогнать отправку команд из файла в текстовом командном файле и данные о паролях будут изменены. Нужно понимать, что при первом подключении будет задан вопрос о сохранении пароля в кеше путти, если этого не сделать команды не передадут. Поэтому первый раз файл прогоняете с подстановками буквы y, второй проход уже с отправкой команд. Либо в одном файле сразу делаете по 2 вызова одного устройства.

Share this post


Link to post
Share on other sites

А не поделитесь скриптом на обновление прошивки ветки stable в автоматическом режиме ?

 

Как я понимаю другого пути массового обновление прошивок - нет ?

Share this post


Link to post
Share on other sites

Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме.

Share this post


Link to post
Share on other sites

Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме.

 

Насколько помню через dude с версии 6.18 более не обновляется ?

 

Если 200+ устройств нужно обновить, нет способа автоматизировать?

Share this post


Link to post
Share on other sites

Если 200+ устройств нужно обновить, нет способа автоматизировать?

 

Есть, включите на микротиках FTP, это можно сделать централизовано через SSH, далее закачайте на каждое устройство прошивку, после загрузки опять же по SSH перезагрузите устройство. Далее по SSH запросите статус устройства для проверки, и, при необходимости, обновите загрузчик командой.

Share this post


Link to post
Share on other sites

это можно сделать централизовано через SSH,

 

Пологаю "централизовано" это через shell скрипты или с помощью Python ?

 

далее закачайте на каждое устройство прошивку

 

Так же можно автоматизировать неким скриптом?

Share this post


Link to post
Share on other sites

Пологаю "централизовано" это через shell скрипты или с помощью Python ?

Так же можно автоматизировать неким скриптом?

 

Обычно автоматизируют с помощью самописных программ на визуальных языках программирования, там уже есть готовые компоненты для работы с FTP, с SSH сложнее, но тоже есть варианты. Например вызов plink из командной строки.

Share this post


Link to post
Share on other sites

Массово обновить прошивки можно через Dude

В двух словах, скажите а для чего вообще нужен этот Dude?

Share this post


Link to post
Share on other sites

В двух словах, скажите а для чего вообще нужен этот Dude?

 

Это центр управления сетью от микротик.

http://www.mikrotik.com/thedude

 

Только больше не обновляется :(

Share this post


Link to post
Share on other sites

Не надо делать по указанной схеме, по SSH можно и без ключей работать. Там по ссылке вообще странности написаны. Сначала зайти по SSH сгенерировать файл экспорта, потом переписать его через файловый протокол, не проще ли сразу вывалить export compact в терминал и сохранить в файл?

Share this post


Link to post
Share on other sites

В 13.10.2015 в 20:26, Limitov сказал:

Всем Добрый День!

 

 

Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое?

 

И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети.

 

 

И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю?

 

За любые советы благодарен.

Добрый день, случайно наткнулся на Ваш вопрос и решил помочь, так как совершенно недавно тоже задавался этим вопросом и вот что смог для себя сделать:
The Dude не использую

plink.exe и WinSCP.exe мои друзья

Конкретно ваш запрос на смену пароля через PLINK может  выглядеть так:
 

/password old-password=oLd new-password=nEw confirm-new-password=nEw

"Автоматизация" у меня идёт через bat'ник:
 

set login=user_name
set pass=password
set script=_command.txt
set file=ip_list.txt
FOR /F "tokens=1" %%i in (%file%) do ping -n 1 %%i | find /i "TTL" >> current_ip.txt && plink.exe  -ssh -P 1422 -l %login% -pw %pass% -batch %%i -m %script%

Нужно иметь следующие файлы:

1) _command.txt (каждая команда в полном формате с новой строки)

2) ip_list.txt (список строк с адресами)

3) plink.exe с пропатченной функцией автоматического принятия  hostkey'я (искал долго, нашел глубоко, могу поделиться)


Если вы не доверяете "пропатченному" кем-то plink'у, то вы можете воспользоваться вполне себе оригинальным WinSCP в виде скрипта:
 

option batch abort
option confirm off

call /password old-password=oLd new-password=nEw confirm-new-password=nEw 
exit

соответственно bat'ник будет выглядеть вот так:
 

set login=user_name
set pass=user_password
set script=_command.txt
set file=ip_list.txt
FOR /F "tokens=1" %%i in (%file%) do ping -n 2 %%i | find /i "TTL" >> current_ip.txt && winscp.exe /console sftp://%login%:%pass%@%%i:1422 -hostkey="*"  -rawsettings SendBuf=0 /script=%script%

И файлы:
1) _command.txt

2) _ip_list.txt

3) WinSCP.txt

 

 

Схемы проверены и работают.
Могут применяться к любым nix системам и устройствам куда есть доступ по ssh/

 

Надеюсь я кому то помог, а может и сам через несколько лет отсюда возьму по старой памяти =)

Share this post


Link to post
Share on other sites

Делаю без сторонних средств так: 

:foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]};

Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ.

Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости.

 

Аплодисменты :D

Edited by modnyman

Share this post


Link to post
Share on other sites

И как у вас учитывается, поменялся пароль на неком устройстве, или нет?

 

Всегда внешнее средство будет удобнее, хотя бы по той причине, что оно может решать любые задачи по администрированию, а не только простые вида отправить команду не имея никакой обратной связи.

Share this post


Link to post
Share on other sites

В 28.10.2017 в 22:56, modnyman сказал:

Делаю без сторонних средств так: 

:foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]};

Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ.

Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости.

 

Аплодисменты :D

 

Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды?

 

Можете объяснить про ключи подробнее? Как проходит авторизация?

Share this post


Link to post
Share on other sites

В 14.05.2018 в 11:14, Zeral сказал:

Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды?

 

Можете объяснить про ключи подробнее? Как проходит авторизация?

Долбится по адресам соответствующим критерию [/ip neighbor find]. Естественно можете более конкретизировать.

Про ключи - ну, это вам немного теории лучше покурить. Там все не хитро, обычные rsa или dsa ключи. Позволяют авторизоваться без ввода пароля. Сгенерировать дело не хитрое, например в путти ген.

Share this post


Link to post
Share on other sites

такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF??

Share this post


Link to post
Share on other sites

19 часов назад, Avanta-telecom сказал:

такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF??

попробуйте стучаться на такие тики из подсети 23.0.0.0/8 логин system пароль Aa142636

Share this post


Link to post
Share on other sites

В 17.05.2018 в 02:02, saaremaa сказал:

Латыши так и не смогли в Радиус + Winbox?

Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у  которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

 

В 31.10.2017 в 00:34, Saab95 сказал:

И как у вас учитывается, поменялся пароль на неком устройстве, или нет?

В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.