当前位置：首页 > news >正文

ansible控制主机和受控主机之间免密及提权案例

news 2025/7/18 22:11:19

案例描述

环境准备

案例一--免密远程控制主机

效果展示：

解决方案

1.添加主机

2.通过ssh-key生成密钥对

3.生成ssh-copy-id

4.验证

案例二-----免密普通用户提权

效果展示

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

copy-id

测试

2.在node1用户下的/etc/sudoers/中

查看：

案例描述

一、描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

二、描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

环境准备

我这里一共三台主机，一个控制端，两个受控端

案例一--免密远程控制主机

描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

为了确保在ansible执行中，各个主机不会受到这些限制，我们可以提供密钥保存到各个主机上，以实现免密登陆效果。

效果展示：

设置之前效果：

[root@control ~]# ssh root@node1
The authenticity of host 'node1 (192.168.197.153)' can't be established.
ECDSA key fingerprint is SHA256:p1vEMDKw2flRy/TI2CE3STJ451XMUm+Sg7/ztyJMaF4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'node1,192.168.197.153' (ECDSA) to the list of known hosts.
root@node1's password:
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 02:55:02 2023 from 192.168.197.1
[root@node1 ~]#

设置之后效果：

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:05:59 2023 from 192.168.197.152

解决方案

1.添加主机

在/etc/hosts下

192.168.197.153 node1 node1.example.com
192.168.197.154 node3 node1.example.com

2.通过ssh-key生成密钥对

ssh-keygen是一个用于生成SSH密钥对的命令行工具。SSH密钥对由公钥和私钥组成，用于通过SSH协议进行安全的身份验证。

[root@control ~]# ssh-keygen -t RSA
Generating public/private RSA key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:6338jg7huU2z/sTmRfgax98A1g/nvbHYyIu5woTOSmY root@control
The key's randomart image is:
+---[RSA 3072]----+
| |
| |
| |
| . . |
| S . o + o|
| . + + o O.|
| Eo + +.o *.O|
| + + + =*B+**|
| .. . +BBOB+o|
+----[SHA256]-----+

3.生成ssh-copy-id

ssh-copy-id是一个方便的工具，用于将本地计算机上的公钥复制到远程服务器的授权密钥列表中，以实现无密码的SSH登录。

[root@control ~]# ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

4.验证

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node1 ~]#

[root@control ~]# ssh node2
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node2 ~]#

也可以通过ansible的ping模块进行测试

首先在/etcansible/hosts下添加两个主机名称

测试

[root@control ~]# ansible node1,node2 -m ping -o
node1 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}
node2 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}

案例二-----免密普通用户提权

描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

效果展示

没提权之前，是执行不了某些权限的，如需要root权限去添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.
useradd: cannot lock /etc/passwd; try again later.

提权之后：

[redhat@control ~]$ ssh node1 sudo useradd user1
[redhat@control ~]$

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

[redhat@control ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/redhat/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/redhat/.ssh/id_rsa.
Your public key has been saved in /home/redhat/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:2JMBtnjN6BCC7cUpqkeZqWgKvSm3DyIhcbd8LdUYiIw redhat@control
The key's randomart image is:
+---[RSA 3072]----+
| o.+.oo.. |
|. E.*+.* + |
|.o.*+ + * . |
|.o*o = = o |
|=+ o = S |
|*oo . . . |
|*..o |
|+.+. |
| o.o. |
+----[SHA256]-----+

copy-id

[redhat@control ~]$ ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/redhat/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
redhat@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

测试

[redhat@control ~]$ ssh node1 hostname
node1

测试添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.--------》被拒绝，没有权限
useradd: cannot lock /etc/passwd; try again later.

2.在node1用户下的/etc/sudoers/中

修改：

查看修改是否成功

[root@node1 ~]# cat /etc/sudoers | grep wheel
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
%wheel ALL=(ALL) NOPASSWD: ALL

然后给权限

gpasswd 就是将redhat用户添加到whell组中，必须要执行这个，不然是会出错的，redhat用户不能正常使用提权

[root@node1 ~]# gpasswd -a redhat wheel
Adding user redhat to group wheel

[redhat@control ~]$ ssh node1 sudo useradd user1
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Creating mailbox file: File exists

有警告，但是可用，可能我添加出错了node2可正常使用

node2机子一样的设置，只需要给%wheel添加一个NOPASSWD，这个%代表组的意思，就是添加在组里面，这个组都可以访问，不需要密码

[redhat@control ~]$ ssh node2 sudo useradd user1
[redhat@control ~]$

查看：

有用户

ansible控制主机和受控主机之间免密及提权案例

目录案例描述环境准备案例一--免密远程控制主机效果展示： 解决方案 1.添加主机 2.通过ssh-key生成密钥对 3.生成ssh-copy-id 4.验证案例二-----免密普通用户提权效果展示解决方案 1.使用普通用户，与案例一一样，进行发送密钥…...

编程日记 2023/8/6 5:20:08

flink1.17 eventWindow不要配置processTrigger

理论上可以eventtime processtime混用,但是下面代码测试发现bug,输入一条数据会一直输出. flink github无法提bug/问题. apache jira账户新建后竟然flink又需要一个账户,放弃 bug复现操作 idea运行代码后往source kafka发送一条数据 a,1,1690304400000 可以看到无限输出…...

编程日记 2023/8/6 5:19:04

sql代码 SELECTtableName D.name ,tableIntroduce isnull(F.value, ),sort A.colorder,fieldName A.name,catogary B.name,bytes A.Length,lengths COLUMNPROPERTY(A.id, A.name, PRECISION),scales isnull(COLUMNPROPERTY(A.id, A.name, Scale), 0),isOrNotNull Cas…...

编程日记 2023/8/6 5:17:56

PB:DDE服务器函数

1、GetCommandDDE() 功能：得到DDE客户应用发送的命令。语法：GetCommandDDE ( string ) 参数：string：string类型的变量，用于保存DDE客户应用发送的命令。返回值：Integer。函数执行成功时返回1，发生错误时返回-1。如果string参数的值为NULL， GetCommandDDE()…...

编程日记 2023/8/6 5:16:55

awk经典实战、正则表达式

目录 1.筛选给定时间范围内的日志 2.统计独立IP 案列需求代码运行结果 3.根据某字段去重案例运行结果 4.正则表达式 1）认识正则 2）匹配字符 3）匹配次数 4）位置锚定：定位出现的位置 5）分组…...

编程日记 2023/8/6 5:15:53

Python脚本-时间盲注

BlindBool_get import requests from optparse import OptionParser import threading#存放变量 DBName "" DBTables [] DBColumns [] DBData {} flag You are in #设置重连次数以及将连接改为短连接 #防止因为HTTP连接数过多导致的MAX retries exceeded with …...

编程日记 2023/8/6 5:14:51

面试总结-Redis篇章(十)——Redis哨兵模式、集群脑裂

Redis哨兵模式、集群脑裂哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂解决办法哨兵模式为了保证Redis的高可用，Redis提供了哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂假设由于网络原…...

编程日记 2023/8/6 5:13:50

el-table那些事

el-table那些事获取el-table所有勾选的行数据用于记录工作和日常学习遇到的坑，需求。 vue3element-plusts 获取el-table所有勾选的行数据 1、需要先声明一个ref变量，并赋值给el-table 2、通过el-table提供的getSelectionRows()函数获取选中的"行…...

编程日记 2023/8/6 5:12:48

kubernetes（一）

文章目录 1. k8s架构2. k8s集群搭建 1. k8s架构 2. k8s集群搭建...

编程日记 2023/8/6 5:11:47

计算机网络（6） --- https协议

计算机网络（5） --- http协议_哈里沃克的博客-CSDN博客http协议https://blog.csdn.net/m0_63488627/article/details/132089130?spm1001.2014.3001.5501 目录 1.HTTPS的出现 1.HTTPS协议介绍 2.补充概念 1.加密 1.解释 2.原因 3.加密方式对称加…...

编程日记 2023/8/6 5:10:46

（三）Node.js - 模块化

1. Node.js中的模块化 Node.js中根据模块来源不同，将模块分为了3大类，分别是： 内置模块：内置模块由Node.js官方提供的，例如fs、path、http等自定义模块：用户创建的每个.js文件，都是自定义模块…...

编程日记 2023/8/6 5:09:45

502 bad gateway报错

代码在本地运行可以正常访问后端接口，部署服务器报错502。直接检查防火墙状态是否开启，先关闭防火墙试一下。如果是防火墙的原因在打开防火墙，开放需要的端口即可。 1、先查看防火墙状态： systemctl status firewalld2、停止防火…...

编程日记 2023/8/6 5:08:44

Flink学习教程

最近因为用到了Flink，所以博主开了《Flink教程》专栏来记录Flink的学习笔记。【Apache Flink v1.16 中文文档】【官网 - Apache Flink v1.3 中文文档】一、基础参考链接如下： Flink教程（01）- Flink知识图谱Flink教程&…...

编程日记 2023/8/6 5:07:43

flutter开发实战-实现音效soundpool播放音频及控制播放暂停停止设置音量

flutter开发实战-实现音效soundpool播放音频最近开发过程中遇到低配置设备时候，在Media播放音频时候出现音轨限制问题。所以将部分音频采用音效sound来播放。一、音效类似iOS中的Sound 在iOS中使用sound来播放mp3音频示例如下 // 通过通知的Sound设置为voip_c…...

编程日记 2023/8/6 5:06:42

Sequence 2023牛客暑期多校训练营6 E

编程日记 2023/8/6 5:04:39

【ASP.NET MVC】使用动软（二）（10）

一、添加动软生成工程按前文添加动态到工程双击动软完成新建数据库服务器后 ，需要关闭重新打开选择简单三层，注意保存位置注意切换数据库： 生成后拷贝五个文件夹到工程目录注意目录结构： 添加四个项目到原来的工程&…...

编程日记 2023/8/6 5:03:38

STM32入门学习之独立看门狗（IWDG）

1.STM32的独立看门狗是一个具有独立时钟的片上外设。通常，为了防止程序卡死，可以设置看门狗定时复位。当看看门狗被使能之后，会按初始化时设置的计数值进行计数。当根据计数值计数的倒数时间为0时，便会自动复位程序，即…...

编程日记 2023/8/6 5:02:36

抖音seo矩阵系统源码搭建开发详解

抖音SEO矩阵系统是一个用于提高抖音视频在搜索引擎排名的工具。如果你想开发自己的抖音SEO矩阵系统，以下是详细的步骤： 开发步骤详解： 确定你需要的功能和算法抖音SEO矩阵系统包含很多功能，比如关键词研究、内容优化、链接建设、…...

编程日记 2023/8/6 5:01:35

2685. 统计完全连通分量的数量；2718. 查询后矩阵的和；1600. 王位继承顺序

2685. 统计完全连通分量的数量核心思想：枚举所有的连通分量，然后判断这些连通分量是不是完全连通分量，完全连通分量满足边数2e 点数v(v-1)。 2718. 查询后矩阵的和核心思想：后面的改变更重要，所以我们直接逆向思维…...

编程日记 2023/8/6 5:00:34

SpringBoot统一功能处理（AOP思想实现）（统一用户登录权限验证 / 异常处理 / 数据格式返回）

主要是三个处理： 1、统一用户登录权限验证； 2、统一异常处理； 3、统一数据格式返回。目录一、用户登录权限校验 🍅 1、使用拦截器 🎈 1.1自定义拦截器 🎈 1.2 设置自定义拦截器 🎈创建cont…...

编程日记 2023/8/6 4:59:32

深度学习在微纳光子学中的应用

深度学习在微纳光子学中的主要应用方向深度学习与微纳光子学的结合主要集中在以下几个方向： 逆向设计通过神经网络快速预测微纳结构的光学响应，替代传统耗时的数值模拟方法。例如设计超表面、光子晶体等结构。特征提取与优化从复杂的光学数据中自…...

编程新知 2025/7/17 9:57:06

DeepSeek 赋能智慧能源：微电网优化调度的智能革新路径

目录一、智慧能源微电网优化调度概述1.1 智慧能源微电网概念1.2 优化调度的重要性1.3 目前面临的挑战二、DeepSeek 技术探秘2.1 DeepSeek 技术原理2.2 DeepSeek 独特优势2.3 DeepSeek 在 AI 领域地位三、DeepSeek 在微电网优化调度中的应用剖析3.1 数据处理与分析3.2 预测与…...

编程新知 2025/6/15 19:07:20

逻辑回归：给不确定性划界的分类大师

想象你是一名医生。面对患者的检查报告（肿瘤大小、血液指标），你需要做出一个**决定性判断**：恶性还是良性？这种“非黑即白”的抉择，正是**逻辑回归（Logistic Regression）** 的战场&a…...

编程新知 2025/6/20 12:22:50

JVM垃圾回收机制全解析

Java虚拟机（JVM）中的垃圾收集器（Garbage Collector，简称GC）是用于自动管理内存的机制。它负责识别和清除不再被程序使用的对象，从而释放内存空间，避免内存泄漏和内存溢出等问题。垃圾收集器在Ja…...

编程新知 2025/7/10 15:49:28

DIY｜Mac 搭建 ESP-IDF 开发环境及编译小智 AI

前一阵子在百度 AI 开发者大会上，看到基于小智 AI DIY 玩具的演示，感觉有点意思，想着自己也来试试。如果只是想烧录现成的固件，乐鑫官方除了提供了 Windows 版本的 Flash 下载工具之外，还提供了基于网页版的 ESP LA…...

编程新知 2025/7/13 17:37:25

PL0语法，分析器实现！

简介 PL/0 是一种简单的编程语言，通常用于教学编译原理。它的语法结构清晰，功能包括常量定义、变量声明、过程（子程序）定义以及基本的控制结构（如条件语句和循环语句）。 PL/0 语法规范 PL/0 是一种教学用的小型编程语言，由 Niklaus Wirth 设计，用于展示编译原理的核…...

编程新知 2025/7/14 8:27:38

JDK 17 新特性

#JDK 17 新特性 /**************** 文本块 *****************/ python/scala中早就支持，不稀奇 String json “”" { “name”: “Java”, “version”: 17 } “”"; /**************** Switch 语句 -> 表达式 *****************/ 挺好的&#xff…...

编程新知 2025/7/7 4:55:40

中医有效性探讨

文章目录西医是如何发展到以生物化学为药理基础的现代医学？传统医学奠基期（远古 - 17 世纪）近代医学转型期（17 世纪 - 19 世纪末）现代医学成熟期（20世纪至今） 中医的源远流长和一脉相承远古至…...

编程新知 2025/7/18 14:44:07

C++.OpenGL （14/64）多光源（Multiple Lights）

多光源（Multiple Lights）多光源渲染技术概览 #mermaid-svg-3L5e5gGn76TNh7Lq {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-3L5e5gGn76TNh7Lq .error-icon{fill:#552222;}#mermaid-svg-3L5e5gGn76TNh7Lq .erro…...

编程新知 2025/6/11 3:15:20

RSS 2025｜从说明书学习复杂机器人操作任务：NUS邵林团队提出全新机器人装配技能学习框架Manual2Skill

视觉语言模型（Vision-Language Models, VLMs），为真实环境中的机器人操作任务提供了极具潜力的解决方案。尽管 VLMs 取得了显著进展，机器人仍难以胜任复杂的长时程任务（如家具装配），主要受限于人…...

编程新知 2025/7/16 20:10:30

案例描述

环境准备

案例一--免密远程控制主机

效果展示：

解决方案

1.添加主机

2.通过ssh-key生成密钥对

3.生成ssh-copy-id

4.验证

案例二-----免密普通用户提权

效果展示

解决方案

1.使用普通用户，与案例一 一样，进行发送密钥对和id

keygen

copy-id

测试

2.在node1用户下的/etc/sudoers/中

查看：

相关知识：

1.gpasswd

2.ssh-copy-id

3.ssh-keygen

相关文章：

1.使用普通用户，与案例一一样，进行发送密钥对和id