RouterOS 7.1からパスワード情報などのsensitiveな情報がデフォルトで出力されなくなりました

はじめに

公式ドキュメントにパラメータが見つけられないのですが、RouterOSではv6までは設定情報をexportするとデフォルトでパスワードなどのsensitive(扱いに細心の注意を要する)な設定値まで出力されてしまうという困った動作をしていました。明示的に hide-sensitive オプションを付与しないとパスワードがマスクされない状態でした。

しかしどうやらRouterOS 7.1からはデフォルトでsensitiveな情報は出力しなくなり、パスワードなどの情報を出力するには明示的に show-sensitive オプションを付与しないと出力されないようになりました。

RouterOS v6まで

デフォルト (exportのみ)

[[email protected]] /ppp secret> export 
# dec/09/2021 22:20:50 by RouterOS 6.49.2
# software id = 1P0B-5LGC
#
# model = CRS125-24G-1S
# serial number = 
/ppp secret
add name=sample password=WUpuMYUhVz46JgBSTnVFDNZJWmtwcPpc

パスワード情報を非表示にする

[[email protected]] /ppp secret> export hide-sensitive 
# dec/09/2021 22:20:50 by RouterOS 6.49.2
# software id = 1P0B-5LGC
#
# model = CRS125-24G-1S
# serial number = 
/ppp secret
add name=sample

RouterOS 7.1から

しかしながら7.1からはこの動作は全くの逆となり、デフォルトではマスクされます。少なくとも7.1のChangelogにはここまでは書いていません(該当するとすれば「!) new Command Line Interface (CLI) style (RouterOS v6 commands are still supported);」)。大きなアップグレードということもあるので、この辺りはしっかりと詳細な情報を出して欲しかったです。

デフォルト (exportのみ)

[[email protected]] /ppp/secret> export 
# dec/09/2021 22:22:06 by RouterOS 7.1
# software id = IFLW-EM30
#
# model = CCR1009-8G-1S-1S+
# serial number = 
/ppp secret
add name=sample profile=profile1

show-sensitiveを付与した場合

このパスワードは参考です

[[email protected]] /ppp/secret> export show-sensitive 
# dec/09/2021 22:22:06 by RouterOS 7.1
# software id = IFLW-EM30
#
# model = CCR1009-8G-1S-1S+
# serial number = 
/ppp secret
add name=sample password=XHJiNKh6R9KgjxJukNcuh79SMNE9aEFD profile=profile1

ただし

Userについてはadmin権限を持ったユーザーで export show-sensitive を実行してもパスワードなどは出力されませんでした。


[[email protected]] /user> export
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,we\
    b,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/user
add address=192.168.88.0/24 comment="system default user" group=full name=admin
/user settings
set minimum-password-length=8
[[email protected]] /user> export show-sensitive 
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,we\
    b,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/user
add address=192.168.88.0/24 comment="system default user" group=full name=admin
/user settings
set minimum-password-length=8

タイトルとURLをコピーしました