Перейти к содержимому
Калькуляторы

Массовая смена пароля на устройствах Mikrotik

47 минут назад, modnyman сказал:

Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

1. Python + Paramiko

2. Golang +  golang.org/x/crypto/ssh

3. [Python | Golang | PHP] + Mikrotik API

 

1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов

2 - сложнее , но очень быстро на горутинах.

3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI -  imho было бы лучше

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, modnyman сказал:

Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у  которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

Что бы локально зайти на антенну - можно и по мак адресу зайти. Следовательно никакой IP не нужен и тут работают обычные ограничения по сервисам/админам - что бы со стороны интернета никто не зашел, и что бы со стороны абонентского порта так же никто не зашел. При доступе по мак адресу политики IP не используются, и через винбокс по маку монтажники всегда смогут зайти, никакие же программы показа пароля по маку не работают.

 

Для ограничения паролей можно держать служебные учетки, штук 10 например, или для каждого сотрудника своя - он от нее знает пароль, права минимальные - только чтение или с возможностью редактирования, но без просмотра паролей.

 

1 час назад, modnyman сказал:

В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига.

Через SSH можно удаленно собирать конфиги с оборудования, и так же сразу вносить необходимые изменения, в том числе и паролей. Все устройства по IP адресам держать в базе, и если конфиг с него сняли - отмечать время с датой и ставить флаг что конфиг есть, аналогично и с паролями. Если подключиться не удалось (это проверяется парсингом ответа), то при следующем проходе повторять попытки соединения.

 

1 час назад, saaremaa сказал:

1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов

2 - сложнее , но очень быстро на горутинах.

3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI -  imho было бы лучше

Вообще есть putty и его можно запускать из самописного приложения группами, например по 100 устройств за раз, далее следить за списком процессов - если количество активных процессов стало меньше 100 - запускать еще и так пока все устройства не будут обработаны. Если проблем со скоростью, задержками и ответами нет, то на 10000 устройств хватает где-то пол часа для опроса/изменения конфигурации, иногда бывает что некоторые устройства не успевают отвечать, или приходит не весь конфиг, поэтому в командах следует использовать служебные метки вида:

 

put message=!!!-START-COMPACT-!!!

/export compact

put message=!!!-END-COMPACT-!!!

 

Тогда при прочтении ответа смотрите начало конфига и метки его полного получения, т.к. если без этого, может придти половина конфига, а другая часть потеряться. Так же бывает процессы зависают и долго висят, поэтому нужно по прошествии определенного времени, например минут 5 - их принудительно завершать, и, если данные по устройству не были получены, повторять попытку подключения к этому адресу.

 

Сейчас складывается тенденция, что все хотят получить что-то готовое, или за минимальную стоимость - такого не бывает. На сети все надо держать свое и именно для своих нужд.

 

Из простых вариантов база MS SQL и самописное приложение на делфи или вижуал си, кто что умеет. Тогда можно по сети с базой работать из любого места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Один такой вопрос касательно The Dude. 

Можно ли на Dude создать аккаунт только режим view или read only для определёных групп людей кроме админа?

Если да как?

Не хочу на каждом оборудование создать аккаунты.

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так можно сделать только через радиус, ведь на карте будет заведен только один пароль, через который все устройства открываются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавь `user`с правaми `read` на Mikrotik_е где DUDE и всё. Доступ к карте есть, но изменить ничего не может.

Изменено пользователем mafijs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это они на карте не могут, а доступ к устройствам получат полный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.