Gestione utenti e gruppi: privilegio minimo
Crea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.
Struttura utenti in RouterOS v7
RouterOS gestisce gli utenti con il menu /user. Ogni utente appartiene a un gruppo che ne definisce i permessi (policy). I gruppi predefiniti sono full (accesso completo), read (sola lettura) e write (lettura + scrittura ma senza la policy che gestisce gli utenti). In un WISP con più tecnici è fondamentale creare utenti dedicati con il minimo dei privilegi necessari: così un account NOC compromesso non può cancellare gli altri utenti o leggere segreti.
# Visualizza gli utenti esistenti /user/print # Cambia la password di admin (FALLO SUBITO al primo accesso) /user/set admin password="P@ssw0rd-Robusta-2026!" # Utente di sola lettura per il monitoring (NMS/Zabbix/WispOS read-only) /user/add name=monitor group=read password="Monitor#2026" # Utente tecnico con scrittura ma senza policy utenti /user/add name=tecnico group=write password="Tecnico#2026" # Crea un admin con nome non ovvio e disabilita 'admin' /user/add name=noc-admin group=full password="NocAdmin#2026!" /user/disable admin # Verifica /user/print
Gruppi personalizzati e policy
Puoi creare gruppi con policy granulari. Le policy definiscono COSA può fare l'utente e CON QUALE protocollo può collegarsi: dare solo ssh,winbox (e non web,ftp,telnet) limita anche i canali di accesso, non solo i permessi.
| Policy | Significato |
|---|---|
| read | Lettura della configurazione |
| write | Modifica della configurazione (non utenti) |
| policy | Gestione utenti/gruppi e dati sensibili |
| test | ping, traceroute, bandwidth-test |
| sensitive | Vedere password/segreti (es. PPP secret, WiFi key) |
| ssh / winbox / web / ftp / telnet | Abilita il singolo canale di accesso |
| reboot | Riavviare il router |
| local | Accesso da console fisica |
# Gruppo per tecnici NOC: leggono, scrivono, fanno test, via ssh/winbox/web # (NIENTE 'policy' -> non possono toccare gli utenti; NIENTE 'sensitive' # -> non vedono le password PPP/WiFi; NIENTE 'api' -> niente integrazioni) /user/group/add name=noc-tecnico \ policy=read,write,test,ssh,winbox,web,password,reboot # Utente nel gruppo personalizzato /user/add name=noc1 group=noc-tecnico password="Noc1#2026" # Gruppo SOLO monitoraggio API per WispOS / NMS (read + api/rest) /user/group/add name=api-monitor policy=read,api,rest-api,test,winbox /user/add name=wispos group=api-monitor password="UnSegretoLungo" # Vedi gruppi e policy in dettaglio /user/group/print detail
Limitare l'accesso per indirizzo IP
# admin (o l'admin rinominato) solo dalla rete di gestione /user/set noc-admin allowed-address=192.168.100.0/24 # utente monitoring solo dall'IP del server NMS /user/set monitor allowed-address=10.0.0.50/32 # più reti consentite, separate da virgola /user/set tecnico allowed-address=192.168.100.0/24,10.0.0.0/24 # Verifica /user/print detail
Esempio WISP: chi accede a cosa
- noc-admin (full, allowed-address = subnet jump host) — l'unico account che può cambiare tutto
- tecnico-campo (gruppo custom read/write/test) — interviene sugli apparati ma non tocca utenti né vede segreti
- wispos / nms (api+rest+read) — l'account che usa il connettore/monitoraggio, sola lettura + comandi mirati
- admin (di default) — DISABILITATO, mai usato in produzione
admin di default in produzione: crea un account con nome diverso e gruppo full, poi disable admin. Questo vanifica gli attacchi a dizionario che provano l'utente 'admin'. Combina sempre con allowed-address per bloccare accessi da IP non autorizzati e tieni l'account API in un gruppo separato con sole le policy che gli servono (read + api/rest), così le credenziali del monitoraggio non possono riconfigurare il router.Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS