Limitov Опубликовано 13 октября, 2015 · Жалоба Всем Добрый День! Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое? И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети. И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю? За любые советы благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tonchi Опубликовано 13 октября, 2015 · Жалоба Подписываюсь на тему, также будет интересно услышать можно ли как-то масомо изменить пароли на своих Микротик точках. Ну и про ограниченный доступ также будет интересно почитать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 октября, 2015 · Жалоба Вообще нужно делать так: Admin - основной пароль администратора, который знает только он. Другие учетки для других людей. Никаких средств автоматизации смены пароля нет, делается это сторонними средствами через ssh. Можете через plink прогнать отправку команд из файла в текстовом командном файле и данные о паролях будут изменены. Нужно понимать, что при первом подключении будет задан вопрос о сохранении пароля в кеше путти, если этого не сделать команды не передадут. Поэтому первый раз файл прогоняете с подстановками буквы y, второй проход уже с отправкой команд. Либо в одном файле сразу делаете по 2 вызова одного устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 19 октября, 2015 · Жалоба А не поделитесь скриптом на обновление прошивки ветки stable в автоматическом режиме ? Как я понимаю другого пути массового обновление прошивок - нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 октября, 2015 · Жалоба Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 19 октября, 2015 · Жалоба Массово обновить прошивки можно через Dude, но там есть свои нюансы. Именно по этому прошивки лучше обновлять в ручном режиме. Насколько помню через dude с версии 6.18 более не обновляется ? Если 200+ устройств нужно обновить, нет способа автоматизировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 октября, 2015 · Жалоба Если 200+ устройств нужно обновить, нет способа автоматизировать? Есть, включите на микротиках FTP, это можно сделать централизовано через SSH, далее закачайте на каждое устройство прошивку, после загрузки опять же по SSH перезагрузите устройство. Далее по SSH запросите статус устройства для проверки, и, при необходимости, обновите загрузчик командой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 20 октября, 2015 · Жалоба это можно сделать централизовано через SSH, Пологаю "централизовано" это через shell скрипты или с помощью Python ? далее закачайте на каждое устройство прошивку Так же можно автоматизировать неким скриптом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 октября, 2015 · Жалоба Пологаю "централизовано" это через shell скрипты или с помощью Python ? Так же можно автоматизировать неким скриптом? Обычно автоматизируют с помощью самописных программ на визуальных языках программирования, там уже есть готовые компоненты для работы с FTP, с SSH сложнее, но тоже есть варианты. Например вызов plink из командной строки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tonchi Опубликовано 24 октября, 2015 · Жалоба Массово обновить прошивки можно через Dude В двух словах, скажите а для чего вообще нужен этот Dude? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 24 октября, 2015 · Жалоба В двух словах, скажите а для чего вообще нужен этот Dude? Это центр управления сетью от микротик. http://www.mikrotik.com/thedude Только больше не обновляется :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 26 октября, 2015 · Жалоба Не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 26 октября, 2015 · Жалоба Не? А разве в этом случае на каждом отдельном микротике не надо ключ заходить и применять ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 октября, 2015 · Жалоба Не надо делать по указанной схеме, по SSH можно и без ключей работать. Там по ссылке вообще странности написаны. Сначала зайти по SSH сгенерировать файл экспорта, потом переписать его через файловый протокол, не проще ли сразу вывалить export compact в терминал и сохранить в файл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zeral Опубликовано 26 октября, 2017 · Жалоба В 13.10.2015 в 20:26, Limitov сказал: Всем Добрый День! Столкнулись с необходимостью массово поменять пароль учётки admin на устройствах mikrotik, их всего штук 80+, но вручную делать этого не хотелось бы, хотелось бы создать схему которая, будучи один раз сконфигурированной, в последствии будет запускать этот процесс в три клика по заданному списку. Это скорее даже вопрос массового запуска скриптов на устройствах из списка, может кто посоветует способ попроще? Есть настроенный/рабочий/запущенный The Dude от мкт. может на нём можно выполнить что-то такое? И немного предыстории, смена пароля обусловлена его утечкой. Опасаюсь, что обиженный монтёр может положить скелет сети. И вот во избежание в будущем подобных проблем, хотелось бы создать новый user-group, который будет оттдан монтёру, вот только не могу продумать какие права забрать, чтоб сильно быстро навредить нельзя было. !sensitive, !police !ssh... оно понятно, но хотелось бы по сути чтоб он только каналы мог менять, порты подписывать.., а это без write невозможно вроде как? а при write можно целиком и полностью поменять конфу, правильно я понимаю? За любые советы благодарен. Добрый день, случайно наткнулся на Ваш вопрос и решил помочь, так как совершенно недавно тоже задавался этим вопросом и вот что смог для себя сделать: The Dude не использую plink.exe и WinSCP.exe мои друзья Конкретно ваш запрос на смену пароля через PLINK может выглядеть так: /password old-password=oLd new-password=nEw confirm-new-password=nEw "Автоматизация" у меня идёт через bat'ник: set login=user_name set pass=password set script=_command.txt set file=ip_list.txt FOR /F "tokens=1" %%i in (%file%) do ping -n 1 %%i | find /i "TTL" >> current_ip.txt && plink.exe -ssh -P 1422 -l %login% -pw %pass% -batch %%i -m %script% Нужно иметь следующие файлы: 1) _command.txt (каждая команда в полном формате с новой строки) 2) ip_list.txt (список строк с адресами) 3) plink.exe с пропатченной функцией автоматического принятия hostkey'я (искал долго, нашел глубоко, могу поделиться) Если вы не доверяете "пропатченному" кем-то plink'у, то вы можете воспользоваться вполне себе оригинальным WinSCP в виде скрипта: option batch abort option confirm off call /password old-password=oLd new-password=nEw confirm-new-password=nEw exit соответственно bat'ник будет выглядеть вот так: set login=user_name set pass=user_password set script=_command.txt set file=ip_list.txt FOR /F "tokens=1" %%i in (%file%) do ping -n 2 %%i | find /i "TTL" >> current_ip.txt && winscp.exe /console sftp://%login%:%pass%@%%i:1422 -hostkey="*" -rawsettings SendBuf=0 /script=%script% И файлы: 1) _command.txt 2) _ip_list.txt 3) WinSCP.txt Схемы проверены и работают. Могут применяться к любым nix системам и устройствам куда есть доступ по ssh/ Надеюсь я кому то помог, а может и сам через несколько лет отсюда возьму по старой памяти =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
modnyman Опубликовано 28 октября, 2017 (изменено) · Жалоба Делаю без сторонних средств так: :foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]}; Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ. Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости. Аплодисменты :D Изменено 28 октября, 2017 пользователем modnyman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 октября, 2017 · Жалоба И как у вас учитывается, поменялся пароль на неком устройстве, или нет? Всегда внешнее средство будет удобнее, хотя бы по той причине, что оно может решать любые задачи по администрированию, а не только простые вида отправить команду не имея никакой обратной связи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zeral Опубликовано 14 мая, 2018 · Жалоба В 28.10.2017 в 22:56, modnyman сказал: Делаю без сторонних средств так: :foreach i in=[/ip neighbor find] do={/system ssh command="/user set admin password=qwerty" address=[/ip neighbor get $i address]}; Естественно изначально во всех тиках есть пользователь рут с публичным rsa ключом. В тике с которого выполняю команду у тогоже пользователя есть приватный ключ. Обновляю прошивки кстати также централизованно. И меняю конфиги в случае необходимости. Аплодисменты :D Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды? Можете объяснить про ключи подробнее? Как проходит авторизация? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
modnyman Опубликовано 16 мая, 2018 · Жалоба В 14.05.2018 в 11:14, Zeral сказал: Т.е. микротик будет долбиться по всем адресам, в какую дверь пустят в ту и войдёт делать команды? Можете объяснить про ключи подробнее? Как проходит авторизация? Долбится по адресам соответствующим критерию [/ip neighbor find]. Естественно можете более конкретизировать. Про ключи - ну, это вам немного теории лучше покурить. Там все не хитро, обычные rsa или dsa ключи. Позволяют авторизоваться без ввода пароля. Сгенерировать дело не хитрое, например в путти ген. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 16 мая, 2018 · Жалоба Латыши так и не смогли в Радиус + Winbox? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 16 мая, 2018 · Жалоба вот у меня массовая смена пароля, не мной! просьба не проходите мимо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Avanta-telecom Опубликовано 17 мая, 2018 · Жалоба такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 17 мая, 2018 · Жалоба А поискать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 18 мая, 2018 · Жалоба 19 часов назад, Avanta-telecom сказал: такая же фигня, на железяках смотрящие в интернет изменены пароли. зайти не могу и знакомый сейчас позвонил с такой же проблемой. WTF?? попробуйте стучаться на такие тики из подсети 23.0.0.0/8 логин system пароль Aa142636 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
modnyman Опубликовано 19 мая, 2018 · Жалоба В 17.05.2018 в 02:02, saaremaa сказал: Латыши так и не смогли в Радиус + Winbox? Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси. В 31.10.2017 в 00:34, Saab95 сказал: И как у вас учитывается, поменялся пароль на неком устройстве, или нет? В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...