WispOSWispOS
Guida MikroTik
Primi passi e gestioneIntermedio

Gestione utenti e gruppi: privilegio minimo

Crea utenti con i soli privilegi necessari, gestisci i gruppi e applica il principio del privilegio minimo per proteggere il router.

Struttura utenti in RouterOS v7

RouterOS gestisce utenti tramite il menu /user. Ogni utente appartiene a un gruppo che definisce i permessi. I gruppi predefiniti sono: full (accesso completo), read (sola lettura), write (lettura + scrittura, no policy). Per ambienti WISP con più tecnici, è fondamentale creare utenti dedicati con il minimo dei privilegi necessari.

Gestione utenti base
# Visualizza utenti esistenti
/user/print

# Cambia password dell'utente admin (FALLO SUBITO!)
/user/set admin password="P@ssw0rd-Sicura-2024!"

# Crea utente di sola lettura per monitoring
/user/add name=monitor group=read password="Monitor#2024"

# Crea utente tecnico con accesso scrittura ma non policy
/user/add name=tecnico group=write password="Tecnico#2024"

# Crea utente admin secondario (full) e disabilita admin di default
/user/add name=myadmin group=full password="MyAdmin#2024!"
/user/disable admin

# Verifica
/user/print

Gruppi personalizzati

Puoi creare gruppi personalizzati con policy granulari. Le policy disponibili includono: local (accesso console), telnet, ssh, ftp, reboot, read, write, policy (gestione utenti/gruppi), test (ping/traceroute), winbox, password (cambio propria password), web, sniff, sensitive, api, romon, rest-api.

Creare un gruppo personalizzato
# Gruppo per tecnici NOC: read + write + test + ssh + winbox
# (senza policy, senza accesso sensitive, senza api)
/user/group/add name=noc-tecnico \
  policy=read,write,test,ssh,winbox,web,password

# Crea utente nel gruppo personalizzato
/user/add name=noc1 group=noc-tecnico password="Noc1#2024"

# Visualizza gruppi e policy
/user/group/print detail

Limitare accesso per indirizzo IP

Restricting allowed address per utente
# Permetti all'utente admin di connettersi SOLO dalla rete di gestione
/user/set admin allowed-address=192.168.100.0/24

# Utente di monitoring solo dall'IP del server NMS
/user/set monitor allowed-address=10.0.0.50/32

# Verifica
/user/print detail
Non usare mai l'utente admin di default in produzione: creane uno con nome diverso, assegnagli il gruppo full, poi disabilita admin. Questo vanifica attacchi a dizionario che provano il nome utente admin. Combina sempre con allowed-address per bloccare accessi da IP non autorizzati.
utentiusergruppigroupprivilegio minimoleast privilegefullreadwritepasswordsicurezzaaccesso

Continua con

Cos'è RouterOS e RouterBOARDPrimo accesso: WinBox, WebFig, SSH e REST APIConfigurazione di default e Quick SetCLI RouterOS: navigazione, print, find e Safe Mode

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS