|
Mikrotik RouterOS - użytkownicy, grupy i polisy w systemie |
Przy pierwszym logowaniu do systemu pamiętajmy aby ustawić hasło dla użytkownika „admin”, co pomoże nam w przyszłości uniknąć przykrych niespodzianek.
Zrobimy to za pomoca komendy - /password
[admin@MikroTik] > password
old password:
new password: ******
retype new password: ******
[admin@MikroTik] >[admin@MikroTik] >
admin – nazwie użytkownika na którego jesteśmy zalogowani.
MikroTik – nazwa wlasna systemu ( nazwę możemy dowolnie zmieniać )
W systemie Mikrotik RouterOS mamy domyślnie założone trzy grupy z polisami do których możemy przypisywać użytkowników:
[admin@MikroTik] > user group print
0 name= "read" policy = local,telnet,ssh,reboot,read,test,winbox,
password,web,!ftp,!write,!policy
1 name= "write" policy = local,telnet,ssh,reboot,read,write,test,
winbox,password,web,!ftp,!policy
2 name= "full" policy = local,telnet,ssh,ftp,reboot,read,write,
policy,test,winbox, password,web
Grupy read , write i full - różnią się polisami czyli poziomem uprawnień.
Te trzy grupy system Mikrotik RouterOS tworzy podczas instalacji (nie mamy uprawnień do ich usuniecia). Jeśli mamy potrzebę to możemy stworzyć własne grupy i nadać im odpowiednie polisy. Znak wykrzyknika przy polisie informuje nas o wykluczeniu polisy z danej grupy.
np. w grupie - read - mamy wykluczone - nieaktywne polisy !ftp, !write, !policy
Lista polis dla grup w systemie Mikrotik RouterOS:
• local - prawo do lokalnego logowania poprzez terminal konsoli
• telnet - prawo do zdalnego logowania poprzez telnet
• ssh - prawo do zdalnego logowania poprzez ssh
• ftp - prawo do transferu plikow wykorzystujące protokół ftp
• reboot - przydzielenie uprawnień na reboot systemu
• read - przydzielenie uprawnień do odczytu konfiguracji. Mamy dostępne tylko komendy które nie mają wpływu na zmieny konfiguracji.
• write - prawo do zapisu zmian konfiguracji routera za wyjątkiem zarządzania użytkownikami. Nie zezwala na odczyt konfiguracji routera - do odczytu konfiguracji nalezy aktywować polisę read
• policy - przydzielenie uprawnień do zarządzania prawami użytkowników ( dostępne razem z polisą write która zezwala na zapis konfiguracji )
• test - prawo do uruchamiania poleceń ping, traceroute, bandwidth-test, wireless scan, oraz komend zwiazanych z sniffer i snooper
• web - prawo do zdalnego logowania poprzez www
• winbox - prawo do zdalnego logowania porzez WinBox
• password - prawo do zmiany hasła
Utwórzmy teraz nową grupę - test - która będzie mogła logować się do systemu poprzez port konsoli i ssh. Nadajmy tej grupie także uprawnienia do odczytu konfiguracji, możliwość na ponowne uruchomienie systemu oraz wykonanie poleceń testowych (np. ping, traceroute)
[admin@MikroTik] > user group add name=test policy=local,ssh,reboot,read,test
[admin@MikroTik] > user group print
0 name= "read" policy = local,telnet,ssh,reboot,read,test,winbox,
password,web,!ftp,!write,!policy
1 name= "write" policy = local,telnet,ssh,reboot,read,write,test,
winbox,password,web,!ftp,!policy
2 name= "full" policy = local,telnet,ssh,ftp,reboot,read,write,
policy,test,winbox, password,web
3 name= "test" policy = local,reboot,read,ssh,test,!ftp,!write,
!policy,!telnet,!winbox,!password,!web Utwórzmy użytkownika - tester -, dodajmy do grupy "test" oraz zezwólmy na logowanie się do systemu tylko z jednego adresu IP 10.0.0.20 w naszej sieci. Będzie to użytkownik który może monitorować pracę naszego systemu z możliwością przeprowadzenia testów, ale bez uprawnień do zmiany konfiguracji systemu.
[admin@MikroTik]> user add name=tester password=123 group=test address=10.0.0.20
[admin@MikroTik] > user print
Flags: X - disabled
# NAME GROUP ADDRESS
0 admin full 0.0.0.0/0
1 tester test 10.0.0.20/32 Często naszej platformie nadajemy publiczny adres IP i logujemy sie zdalnie poprzez WinBox lub SSH. Pamiętajmy że jeśli potencjalny napastnik zna się na rzeczy i wie że ma do czynienia z systemem Mikrotik RouterOS to może przeprowadzić np. atak słownikowy na konto - admin. Dla poprawy bezpieczeństwa możemy założyć w systemie nowego użytkownika z prawami "full" nazwać go np. superadmin, a "starego" użytkownika - admin - usunąć z systemu lub zmienić uprawniena na read.
( ... )
Pełna treść tego artykułu zarezerwowana jest dla zarejestrowanych użytkowników AkademiaWiFi.pl
|
|
|
