Guida MikroTik
Primi passi e gestioneIntermedio

Gestione utenti e gruppi: privilegio minimo

Crea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.

Struttura utenti in RouterOS v7

RouterOS gestisce gli utenti con il menu /user. Ogni utente appartiene a un gruppo che ne definisce i permessi (policy). I gruppi predefiniti sono full (accesso completo), read (sola lettura) e write (lettura + scrittura ma senza la policy che gestisce gli utenti). In un WISP con più tecnici è fondamentale creare utenti dedicati con il minimo dei privilegi necessari: così un account NOC compromesso non può cancellare gli altri utenti o leggere segreti.

Gestione utenti base
# Visualizza gli utenti esistenti
/user/print

# Cambia la password di admin (FALLO SUBITO al primo accesso)
/user/set admin password="P@ssw0rd-Robusta-2026!"

# Utente di sola lettura per il monitoring (NMS/Zabbix/WispOS read-only)
/user/add name=monitor group=read password="Monitor#2026"

# Utente tecnico con scrittura ma senza policy utenti
/user/add name=tecnico group=write password="Tecnico#2026"

# Crea un admin con nome non ovvio e disabilita 'admin'
/user/add name=noc-admin group=full password="NocAdmin#2026!"
/user/disable admin

# Verifica
/user/print

Gruppi personalizzati e policy

Puoi creare gruppi con policy granulari. Le policy definiscono COSA può fare l'utente e CON QUALE protocollo può collegarsi: dare solo ssh,winbox (e non web,ftp,telnet) limita anche i canali di accesso, non solo i permessi.

PolicySignificato
readLettura della configurazione
writeModifica della configurazione (non utenti)
policyGestione utenti/gruppi e dati sensibili
testping, traceroute, bandwidth-test
sensitiveVedere password/segreti (es. PPP secret, WiFi key)
ssh / winbox / web / ftp / telnetAbilita il singolo canale di accesso
rebootRiavviare il router
localAccesso da console fisica
Policy più usate in /user/group (le altre includono: api, rest-api, romon, sniff, dude, tikapp).
Creare un gruppo personalizzato
# Gruppo per tecnici NOC: leggono, scrivono, fanno test, via ssh/winbox/web
# (NIENTE 'policy' -> non possono toccare gli utenti; NIENTE 'sensitive'
#  -> non vedono le password PPP/WiFi; NIENTE 'api' -> niente integrazioni)
/user/group/add name=noc-tecnico \
  policy=read,write,test,ssh,winbox,web,password,reboot

# Utente nel gruppo personalizzato
/user/add name=noc1 group=noc-tecnico password="Noc1#2026"

# Gruppo SOLO monitoraggio API per WispOS / NMS (read + api/rest)
/user/group/add name=api-monitor policy=read,api,rest-api,test,winbox
/user/add name=wispos group=api-monitor password="UnSegretoLungo"

# Vedi gruppi e policy in dettaglio
/user/group/print detail

Limitare l'accesso per indirizzo IP

allowed-address per utente
# admin (o l'admin rinominato) solo dalla rete di gestione
/user/set noc-admin allowed-address=192.168.100.0/24

# utente monitoring solo dall'IP del server NMS
/user/set monitor allowed-address=10.0.0.50/32

# più reti consentite, separate da virgola
/user/set tecnico allowed-address=192.168.100.0/24,10.0.0.0/24

# Verifica
/user/print detail

Esempio WISP: chi accede a cosa

  • noc-admin (full, allowed-address = subnet jump host) — l'unico account che può cambiare tutto
  • tecnico-campo (gruppo custom read/write/test) — interviene sugli apparati ma non tocca utenti né vede segreti
  • wispos / nms (api+rest+read) — l'account che usa il connettore/monitoraggio, sola lettura + comandi mirati
  • admin (di default) — DISABILITATO, mai usato in produzione
Non usare mai l'utente admin di default in produzione: crea un account con nome diverso e gruppo full, poi disable admin. Questo vanifica gli attacchi a dizionario che provano l'utente 'admin'. Combina sempre con allowed-address per bloccare accessi da IP non autorizzati e tieni l'account API in un gruppo separato con sole le policy che gli servono (read + api/rest), così le credenziali del monitoraggio non possono riconfigurare il router.
utentiusergruppigroupprivilegio minimoleast privilegefullreadwritepasswordsicurezzaaccessoallowed-addresspolicy

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS