Перейти к содержимому
Калькуляторы

Массовая смена пароля на устройствах Mikrotik

Всем Добрый День!

Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое?

И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети.

И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю?

За любые советы благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подписываюсь на тему, также будет интересно услышать можно ли как-то масомо изменить пароли на своих Микротик точках.

Ну и про ограниченный доступ также будет интересно почитать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще нужно делать так:

 

Admin - основной пароль администратора, который знает только он.

Другие учетки для других людей.

 

Никаких средств автоматизации смены пароля нет, делается это сторонними средствами через ssh. Можете через plink прогнать отправку команд из файла в текстовом командном файле и данные о паролях будут изменены. Нужно понимать, что при первом подключении будет задан вопрос о сохранении пароля в кеше путти, если этого не сделать команды не передадут. Поэтому первый раз файл прогоняете с подстановками буквы y, второй проход уже с отправкой команд. Либо в одном файле сразу делаете по 2 вызова одного устройства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не поделитесь скриптом на обновление прошивки ветки stable в автоматическом режиме ?

 

Как я понимаю другого пути массового обновление прошивок - нет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме.

 

Насколько помню через dude с версии 6.18 более не обновляется ?

 

Если 200+ устройств нужно обновить, нет способа автоматизировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если 200+ устройств нужно обновить, нет способа автоматизировать?

 

Есть, включите на микротиках FTP, это можно сделать централизовано через SSH, далее закачайте на каждое устройство прошивку, после загрузки опять же по SSH перезагрузите устройство. Далее по SSH запросите статус устройства для проверки, и, при необходимости, обновите загрузчик командой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это можно сделать централизовано через SSH,

 

Пологаю "централизовано" это через shell скрипты или с помощью Python ?

 

далее закачайте на каждое устройство прошивку

 

Так же можно автоматизировать неким скриптом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пологаю "централизовано" это через shell скрипты или с помощью Python ?

Так же можно автоматизировать неким скриптом?

 

Обычно автоматизируют с помощью самописных программ на визуальных языках программирования, там уже есть готовые компоненты для работы с FTP, с SSH сложнее, но тоже есть варианты. Например вызов plink из командной строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Массово обновить прошивки можно через Dude

В двух словах, скажите а для чего вообще нужен этот Dude?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В двух словах, скажите а для чего вообще нужен этот Dude?

 

Это центр управления сетью от микротик.

http://www.mikrotik.com/thedude

 

Только больше не обновляется :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не?

 

А разве в этом случае на каждом отдельном микротике не надо ключ заходить и применять ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо делать по указанной схеме, по SSH можно и без ключей работать. Там по ссылке вообще странности написаны. Сначала зайти по SSH сгенерировать файл экспорта, потом переписать его через файловый протокол, не проще ли сразу вывалить export compact в терминал и сохранить в файл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 13.10.2015 в 20:26, Limitov сказал:

Всем Добрый День!

 

 

Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое?

 

И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети.

 

 

И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю?

 

За любые советы благодарен.

Добрый день, случайно наткнулся на Ваш вопрос и решил помочь, так как совершенно недавно тоже задавался этим вопросом и вот что смог для себя сделать:
The Dude не использую

plink.exe и WinSCP.exe мои друзья

Конкретно ваш запрос на смену пароля через PLINK может  выглядеть так:
 

/password old-password=oLd new-password=nEw confirm-new-password=nEw

"Автоматизация" у меня идёт через bat'ник:
 

set login=user_name
set pass=password
set script=_command.txt
set file=ip_list.txt
FOR /F "tokens=1" %%i in (%file%) do ping -n 1 %%i | find /i "TTL" >> current_ip.txt && plink.exe  -ssh -P 1422 -l %login% -pw %pass% -batch %%i -m %script%

Нужно иметь следующие файлы:

1) _command.txt (каждая команда в полном формате с новой строки)

2) ip_list.txt (список строк с адресами)

3) plink.exe с пропатченной функцией автоматического принятия  hostkey'я (искал долго, нашел глубоко, могу поделиться)


Если вы не доверяете "пропатченному" кем-то plink'у, то вы можете воспользоваться вполне себе оригинальным WinSCP в виде скрипта:
 

option batch abort
option confirm off

call /password old-password=oLd new-password=nEw confirm-new-password=nEw 
exit

соответственно bat'ник будет выглядеть вот так:
 

set login=user_name
set pass=user_password
set script=_command.txt
set file=ip_list.txt
FOR /F "tokens=1" %%i in (%file%) do ping -n 2 %%i | find /i "TTL" >> current_ip.txt && winscp.exe /console sftp://%login%:%pass%@%%i:1422 -hostkey="*"  -rawsettings SendBuf=0 /script=%script%

И файлы:
1) _command.txt

2) _ip_list.txt

3) WinSCP.txt

 

 

Схемы проверены и работают.
Могут применяться к любым nix системам и устройствам куда есть доступ по ssh/

 

Надеюсь я кому то помог, а может и сам через несколько лет отсюда возьму по старой памяти =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Делаю без сторонних средств так: 

:foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]};

Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ.

Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости.

 

Аплодисменты :D

Изменено пользователем modnyman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И как у вас учитывается, поменялся пароль на неком устройстве, или нет?

 

Всегда внешнее средство будет удобнее, хотя бы по той причине, что оно может решать любые задачи по администрированию, а не только простые вида отправить команду не имея никакой обратной связи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 28.10.2017 в 22:56, modnyman сказал:

Делаю без сторонних средств так: 

:foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]};

Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ.

Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости.

 

Аплодисменты :D

 

Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды?

 

Можете объяснить про ключи подробнее? Как проходит авторизация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 14.05.2018 в 11:14, Zeral сказал:

Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды?

 

Можете объяснить про ключи подробнее? Как проходит авторизация?

Долбится по адресам соответствующим критерию [/ip neighbor find]. Естественно можете более конкретизировать.

Про ключи - ну, это вам немного теории лучше покурить. Там все не хитро, обычные rsa или dsa ключи. Позволяют авторизоваться без ввода пароля. Сгенерировать дело не хитрое, например в путти ген.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Латыши так и не смогли в Радиус + Winbox?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот у меня массовая смена пароля, не мной! просьба не проходите мимо

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
19 часов назад, Avanta-telecom сказал:

такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF??

попробуйте стучаться на такие тики из подсети 23.0.0.0/8 логин system пароль Aa142636

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 17.05.2018 в 02:02, saaremaa сказал:

Латыши так и не смогли в Радиус + Winbox?

Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у  которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

 

В 31.10.2017 в 00:34, Saab95 сказал:

И как у вас учитывается, поменялся пароль на неком устройстве, или нет?

В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас