Перейти к содержимому
Калькуляторы

Массовая смена пароля на устройствах Mikrotik

47 минут назад, modnyman сказал:

Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

1. Python + Paramiko

2. Golang +  golang.org/x/crypto/ssh

3. [Python | Golang | PHP] + Mikrotik API

 

1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов

2 - сложнее , но очень быстро на горутинах.

3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI -  imho было бы лучше

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, modnyman сказал:

Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у  которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси.

Что бы локально зайти на антенну - можно и по мак адресу зайти. Следовательно никакой IP не нужен и тут работают обычные ограничения по сервисам/админам - что бы со стороны интернета никто не зашел, и что бы со стороны абонентского порта так же никто не зашел. При доступе по мак адресу политики IP не используются, и через винбокс по маку монтажники всегда смогут зайти, никакие же программы показа пароля по маку не работают.

 

Для ограничения паролей можно держать служебные учетки, штук 10 например, или для каждого сотрудника своя - он от нее знает пароль, права минимальные - только чтение или с возможностью редактирования, но без просмотра паролей.

 

1 час назад, modnyman сказал:

В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига.

Через SSH можно удаленно собирать конфиги с оборудования, и так же сразу вносить необходимые изменения, в том числе и паролей. Все устройства по IP адресам держать в базе, и если конфиг с него сняли - отмечать время с датой и ставить флаг что конфиг есть, аналогично и с паролями. Если подключиться не удалось (это проверяется парсингом ответа), то при следующем проходе повторять попытки соединения.

 

1 час назад, saaremaa сказал:

1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов

2 - сложнее , но очень быстро на горутинах.

3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI -  imho было бы лучше

Вообще есть putty и его можно запускать из самописного приложения группами, например по 100 устройств за раз, далее следить за списком процессов - если количество активных процессов стало меньше 100 - запускать еще и так пока все устройства не будут обработаны. Если проблем со скоростью, задержками и ответами нет, то на 10000 устройств хватает где-то пол часа для опроса/изменения конфигурации, иногда бывает что некоторые устройства не успевают отвечать, или приходит не весь конфиг, поэтому в командах следует использовать служебные метки вида:

 

put message=!!!-START-COMPACT-!!!

/export compact

put message=!!!-END-COMPACT-!!!

 

Тогда при прочтении ответа смотрите начало конфига и метки его полного получения, т.к. если без этого, может придти половина конфига, а другая часть потеряться. Так же бывает процессы зависают и долго висят, поэтому нужно по прошествии определенного времени, например минут 5 - их принудительно завершать, и, если данные по устройству не были получены, повторять попытку подключения к этому адресу.

 

Сейчас складывается тенденция, что все хотят получить что-то готовое, или за минимальную стоимость - такого не бывает. На сети все надо держать свое и именно для своих нужд.

 

Из простых вариантов база MS SQL и самописное приложение на делфи или вижуал си, кто что умеет. Тогда можно по сети с базой работать из любого места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас