当前位置：首页 > news >正文

ansible控制主机和受控主机之间免密及提权案例

news 2026/2/7 5:03:17

案例描述

环境准备

案例一--免密远程控制主机

效果展示：

解决方案

1.添加主机

2.通过ssh-key生成密钥对

3.生成ssh-copy-id

4.验证

案例二-----免密普通用户提权

效果展示

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

copy-id

测试

2.在node1用户下的/etc/sudoers/中

查看：

案例描述

一、描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

二、描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

环境准备

我这里一共三台主机，一个控制端，两个受控端

案例一--免密远程控制主机

描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

为了确保在ansible执行中，各个主机不会受到这些限制，我们可以提供密钥保存到各个主机上，以实现免密登陆效果。

效果展示：

设置之前效果：

[root@control ~]# ssh root@node1
The authenticity of host 'node1 (192.168.197.153)' can't be established.
ECDSA key fingerprint is SHA256:p1vEMDKw2flRy/TI2CE3STJ451XMUm+Sg7/ztyJMaF4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'node1,192.168.197.153' (ECDSA) to the list of known hosts.
root@node1's password:
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 02:55:02 2023 from 192.168.197.1
[root@node1 ~]#

设置之后效果：

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:05:59 2023 from 192.168.197.152

解决方案

1.添加主机

在/etc/hosts下

192.168.197.153 node1 node1.example.com
192.168.197.154 node3 node1.example.com

2.通过ssh-key生成密钥对

ssh-keygen是一个用于生成SSH密钥对的命令行工具。SSH密钥对由公钥和私钥组成，用于通过SSH协议进行安全的身份验证。

[root@control ~]# ssh-keygen -t RSA
Generating public/private RSA key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:6338jg7huU2z/sTmRfgax98A1g/nvbHYyIu5woTOSmY root@control
The key's randomart image is:
+---[RSA 3072]----+
| |
| |
| |
| . . |
| S . o + o|
| . + + o O.|
| Eo + +.o *.O|
| + + + =*B+**|
| .. . +BBOB+o|
+----[SHA256]-----+

3.生成ssh-copy-id

ssh-copy-id是一个方便的工具，用于将本地计算机上的公钥复制到远程服务器的授权密钥列表中，以实现无密码的SSH登录。

[root@control ~]# ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

4.验证

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node1 ~]#

[root@control ~]# ssh node2
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node2 ~]#

也可以通过ansible的ping模块进行测试

首先在/etcansible/hosts下添加两个主机名称

测试

[root@control ~]# ansible node1,node2 -m ping -o
node1 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}
node2 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}

案例二-----免密普通用户提权

描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

效果展示

没提权之前，是执行不了某些权限的，如需要root权限去添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.
useradd: cannot lock /etc/passwd; try again later.

提权之后：

[redhat@control ~]$ ssh node1 sudo useradd user1
[redhat@control ~]$

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

[redhat@control ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/redhat/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/redhat/.ssh/id_rsa.
Your public key has been saved in /home/redhat/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:2JMBtnjN6BCC7cUpqkeZqWgKvSm3DyIhcbd8LdUYiIw redhat@control
The key's randomart image is:
+---[RSA 3072]----+
| o.+.oo.. |
|. E.*+.* + |
|.o.*+ + * . |
|.o*o = = o |
|=+ o = S |
|*oo . . . |
|*..o |
|+.+. |
| o.o. |
+----[SHA256]-----+

copy-id

[redhat@control ~]$ ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/redhat/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
redhat@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

测试

[redhat@control ~]$ ssh node1 hostname
node1

测试添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.--------》被拒绝，没有权限
useradd: cannot lock /etc/passwd; try again later.

2.在node1用户下的/etc/sudoers/中

修改：

查看修改是否成功

[root@node1 ~]# cat /etc/sudoers | grep wheel
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
%wheel ALL=(ALL) NOPASSWD: ALL

然后给权限

gpasswd 就是将redhat用户添加到whell组中，必须要执行这个，不然是会出错的，redhat用户不能正常使用提权

[root@node1 ~]# gpasswd -a redhat wheel
Adding user redhat to group wheel

[redhat@control ~]$ ssh node1 sudo useradd user1
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Creating mailbox file: File exists

有警告，但是可用，可能我添加出错了node2可正常使用

node2机子一样的设置，只需要给%wheel添加一个NOPASSWD，这个%代表组的意思，就是添加在组里面，这个组都可以访问，不需要密码

[redhat@control ~]$ ssh node2 sudo useradd user1
[redhat@control ~]$

查看：

有用户

ansible控制主机和受控主机之间免密及提权案例

目录案例描述环境准备案例一--免密远程控制主机效果展示： 解决方案 1.添加主机 2.通过ssh-key生成密钥对 3.生成ssh-copy-id 4.验证案例二-----免密普通用户提权效果展示解决方案 1.使用普通用户，与案例一一样，进行发送密钥…...

编程日记 2023/8/6 5:20:08

flink1.17 eventWindow不要配置processTrigger

理论上可以eventtime processtime混用,但是下面代码测试发现bug,输入一条数据会一直输出. flink github无法提bug/问题. apache jira账户新建后竟然flink又需要一个账户,放弃 bug复现操作 idea运行代码后往source kafka发送一条数据 a,1,1690304400000 可以看到无限输出…...

编程日记 2023/8/6 5:19:04

sql代码 SELECTtableName D.name ,tableIntroduce isnull(F.value, ),sort A.colorder,fieldName A.name,catogary B.name,bytes A.Length,lengths COLUMNPROPERTY(A.id, A.name, PRECISION),scales isnull(COLUMNPROPERTY(A.id, A.name, Scale), 0),isOrNotNull Cas…...

编程日记 2023/8/6 5:17:56

PB:DDE服务器函数

1、GetCommandDDE() 功能：得到DDE客户应用发送的命令。语法：GetCommandDDE ( string ) 参数：string：string类型的变量，用于保存DDE客户应用发送的命令。返回值：Integer。函数执行成功时返回1，发生错误时返回-1。如果string参数的值为NULL， GetCommandDDE()…...

编程日记 2023/8/6 5:16:55

awk经典实战、正则表达式

目录 1.筛选给定时间范围内的日志 2.统计独立IP 案列需求代码运行结果 3.根据某字段去重案例运行结果 4.正则表达式 1）认识正则 2）匹配字符 3）匹配次数 4）位置锚定：定位出现的位置 5）分组…...

编程日记 2023/8/6 5:15:53

Python脚本-时间盲注

BlindBool_get import requests from optparse import OptionParser import threading#存放变量 DBName "" DBTables [] DBColumns [] DBData {} flag You are in #设置重连次数以及将连接改为短连接 #防止因为HTTP连接数过多导致的MAX retries exceeded with …...

编程日记 2023/8/6 5:14:51

面试总结-Redis篇章(十)——Redis哨兵模式、集群脑裂

Redis哨兵模式、集群脑裂哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂解决办法哨兵模式为了保证Redis的高可用，Redis提供了哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂假设由于网络原…...

编程日记 2023/8/6 5:13:50

el-table那些事

el-table那些事获取el-table所有勾选的行数据用于记录工作和日常学习遇到的坑，需求。 vue3element-plusts 获取el-table所有勾选的行数据 1、需要先声明一个ref变量，并赋值给el-table 2、通过el-table提供的getSelectionRows()函数获取选中的"行…...

编程日记 2023/8/6 5:12:48

kubernetes（一）

文章目录 1. k8s架构2. k8s集群搭建 1. k8s架构 2. k8s集群搭建...

编程日记 2023/8/6 5:11:47

计算机网络（6） --- https协议

计算机网络（5） --- http协议_哈里沃克的博客-CSDN博客http协议https://blog.csdn.net/m0_63488627/article/details/132089130?spm1001.2014.3001.5501 目录 1.HTTPS的出现 1.HTTPS协议介绍 2.补充概念 1.加密 1.解释 2.原因 3.加密方式对称加…...

编程日记 2023/8/6 5:10:46

（三）Node.js - 模块化

1. Node.js中的模块化 Node.js中根据模块来源不同，将模块分为了3大类，分别是： 内置模块：内置模块由Node.js官方提供的，例如fs、path、http等自定义模块：用户创建的每个.js文件，都是自定义模块…...

编程日记 2023/8/6 5:09:45

502 bad gateway报错

代码在本地运行可以正常访问后端接口，部署服务器报错502。直接检查防火墙状态是否开启，先关闭防火墙试一下。如果是防火墙的原因在打开防火墙，开放需要的端口即可。 1、先查看防火墙状态： systemctl status firewalld2、停止防火…...

编程日记 2023/8/6 5:08:44

Flink学习教程

最近因为用到了Flink，所以博主开了《Flink教程》专栏来记录Flink的学习笔记。【Apache Flink v1.16 中文文档】【官网 - Apache Flink v1.3 中文文档】一、基础参考链接如下： Flink教程（01）- Flink知识图谱Flink教程&…...

编程日记 2023/8/6 5:07:43

flutter开发实战-实现音效soundpool播放音频及控制播放暂停停止设置音量

flutter开发实战-实现音效soundpool播放音频最近开发过程中遇到低配置设备时候，在Media播放音频时候出现音轨限制问题。所以将部分音频采用音效sound来播放。一、音效类似iOS中的Sound 在iOS中使用sound来播放mp3音频示例如下 // 通过通知的Sound设置为voip_c…...

编程日记 2023/8/6 5:06:42

Sequence 2023牛客暑期多校训练营6 E

编程日记 2023/8/6 5:04:39

【ASP.NET MVC】使用动软（二）（10）

一、添加动软生成工程按前文添加动态到工程双击动软完成新建数据库服务器后 ，需要关闭重新打开选择简单三层，注意保存位置注意切换数据库： 生成后拷贝五个文件夹到工程目录注意目录结构： 添加四个项目到原来的工程&…...

编程日记 2023/8/6 5:03:38

STM32入门学习之独立看门狗（IWDG）

1.STM32的独立看门狗是一个具有独立时钟的片上外设。通常，为了防止程序卡死，可以设置看门狗定时复位。当看看门狗被使能之后，会按初始化时设置的计数值进行计数。当根据计数值计数的倒数时间为0时，便会自动复位程序，即…...

编程日记 2023/8/6 5:02:36

抖音seo矩阵系统源码搭建开发详解

抖音SEO矩阵系统是一个用于提高抖音视频在搜索引擎排名的工具。如果你想开发自己的抖音SEO矩阵系统，以下是详细的步骤： 开发步骤详解： 确定你需要的功能和算法抖音SEO矩阵系统包含很多功能，比如关键词研究、内容优化、链接建设、…...

编程日记 2023/8/6 5:01:35

2685. 统计完全连通分量的数量；2718. 查询后矩阵的和；1600. 王位继承顺序

2685. 统计完全连通分量的数量核心思想：枚举所有的连通分量，然后判断这些连通分量是不是完全连通分量，完全连通分量满足边数2e 点数v(v-1)。 2718. 查询后矩阵的和核心思想：后面的改变更重要，所以我们直接逆向思维…...

编程日记 2023/8/6 5:00:34

SpringBoot统一功能处理（AOP思想实现）（统一用户登录权限验证 / 异常处理 / 数据格式返回）

主要是三个处理： 1、统一用户登录权限验证； 2、统一异常处理； 3、统一数据格式返回。目录一、用户登录权限校验 🍅 1、使用拦截器 🎈 1.1自定义拦截器 🎈 1.2 设置自定义拦截器 🎈创建cont…...

编程日记 2023/8/6 4:59:32

stm32G473的flash模式是单bank还是双bank？

今天突然有人stm32G473的flash模式是单bank还是双bank？由于时间太久，我真忘记了。搜搜发现，还真有人和我一样。见下面的链接：https://shequ.stmicroelectronics.cn/forum.php?modviewthread&tid644563 根据STM32G4系列参考手…...

编程新知 2026/2/5 0:36:44

C++：std::is_convertible

C++标志库中提供is_convertible，可以测试一种类型是否可以转换为另一只类型： template <class From, class To> struct is_convertible; 使用举例： #include <iostream> #include <string>using namespace std;struct A { }; struct B : A { };int main…...

编程新知 2025/6/11 15:23:57

React第五十七节 Router中RouterProvider使用详解及注意事项

前言在 React Router v6.4 中，RouterProvider 是一个核心组件，用于提供基于数据路由（data routers）的新型路由方案。它替代了传统的 <BrowserRouter>，支持更强大的数据加载和操作功能（如 loader 和…...

编程新知 2026/1/21 9:06:43

java 实现excel文件转pdf | 无水印 | 无限制

文章目录目录文章目录前言 1.项目远程仓库配置 2.pom文件引入相关依赖 3.代码破解二、Excel转PDF 1.代码实现 2.Aspose.License.xml 授权文件总结前言 java处理excel转pdf一直没找到什么好用的免费jar包工具，自己手写的难度，恐怕高级程序员花费一年的事件，也…...

编程新知 2025/11/5 4:10:42

视频字幕质量评估的大规模细粒度基准

大家读完觉得有帮助记得关注和点赞！！！ 摘要视频字幕在文本到视频生成任务中起着至关重要的作用，因为它们的质量直接影响所生成视频的语义连贯性和视觉保真度。尽管大型视觉-语言模型（VLMs）在字幕生成方面…...

编程新知 2026/2/6 9:24:15

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一）

宇树机器人多姿态起立控制强化学习框架论文解析论文解读：交大&港大&上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一） 论文解读：交大&港大&上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化…...

编程新知 2025/8/27 0:58:09

均衡后的SNRSINR

本文主要摘自参考文献中的前两篇，相关文献中经常会出现MIMO检测后的SINR不过一直没有找到相关数学推到过程，其中文献[1]中给出了相关原理在此仅做记录。 1. 系统模型复信道模型 n t n_t nt 根发送天线， n r n_r nr 根接收天线的 MIMO 系…...

编程新知 2026/1/30 4:47:24

学校时钟系统，标准考场时钟系统，AI亮相2025高考，赛思时钟系统为教育公平筑起“精准防线”

2025年#高考将在近日拉开帷幕，#AI 监考一度冲上热搜。当AI深度融入高考，#时间同步不再是辅助功能，而是决定AI监考系统成败的“生命线”。 AI亮相2025高考，40种异常行为0.5秒精准识别 2025年高考即将拉开帷幕，江西、…...

编程新知 2026/2/3 2:10:25

Sklearn 机器学习缺失值处理获取填充失值的统计值

💖亲爱的技术爱好者们，热烈欢迎来到 Kant2048 的博客！我是 Thomas Kant，很开心能在CSDN上与你们相遇～💖 本博客的精华专栏：【自动化测试】【测试经验】【人工智能】【Python】使用 Scikit-learn 处理缺失值并提取填充统计信息的完整指南在机器学习项目中，数据清…...

编程新知 2026/1/20 10:06:51

Matlab实现任意伪彩色图像可视化显示

Matlab实现任意伪彩色图像可视化显示 1、灰度原始图像2、RGB彩色原始图像在科研研究中，如何展示好看的实验结果图像非常重要！！！ 1、灰度原始图像灰度图像每个像素点只有一个数值，代表该点的亮度（或…...

编程新知 2026/2/7 2:14:33

案例描述

环境准备

案例一--免密远程控制主机

效果展示：

解决方案

1.添加主机

2.通过ssh-key生成密钥对

3.生成ssh-copy-id

4.验证

案例二-----免密普通用户提权

效果展示

解决方案

1.使用普通用户，与案例一 一样，进行发送密钥对和id

keygen

copy-id

测试

2.在node1用户下的/etc/sudoers/中

查看：

相关知识：

1.gpasswd

2.ssh-copy-id

3.ssh-keygen

相关文章：

1.使用普通用户，与案例一一样，进行发送密钥对和id