当前位置：首页 > news >正文

ansible控制主机和受控主机之间免密及提权案例

news 2026/2/9 3:31:25

案例描述

环境准备

案例一--免密远程控制主机

效果展示：

解决方案

1.添加主机

2.通过ssh-key生成密钥对

3.生成ssh-copy-id

4.验证

案例二-----免密普通用户提权

效果展示

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

copy-id

测试

2.在node1用户下的/etc/sudoers/中

查看：

案例描述

一、描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

二、描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

环境准备

我这里一共三台主机，一个控制端，两个受控端

案例一--免密远程控制主机

描述：控制主机和受控主机通过root用户以免密验证远程控制受控主机实施对应任务

为了确保在ansible执行中，各个主机不会受到这些限制，我们可以提供密钥保存到各个主机上，以实现免密登陆效果。

效果展示：

设置之前效果：

[root@control ~]# ssh root@node1
The authenticity of host 'node1 (192.168.197.153)' can't be established.
ECDSA key fingerprint is SHA256:p1vEMDKw2flRy/TI2CE3STJ451XMUm+Sg7/ztyJMaF4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'node1,192.168.197.153' (ECDSA) to the list of known hosts.
root@node1's password:
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 02:55:02 2023 from 192.168.197.1
[root@node1 ~]#

设置之后效果：

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:05:59 2023 from 192.168.197.152

解决方案

1.添加主机

在/etc/hosts下

192.168.197.153 node1 node1.example.com
192.168.197.154 node3 node1.example.com

2.通过ssh-key生成密钥对

ssh-keygen是一个用于生成SSH密钥对的命令行工具。SSH密钥对由公钥和私钥组成，用于通过SSH协议进行安全的身份验证。

[root@control ~]# ssh-keygen -t RSA
Generating public/private RSA key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:6338jg7huU2z/sTmRfgax98A1g/nvbHYyIu5woTOSmY root@control
The key's randomart image is:
+---[RSA 3072]----+
| |
| |
| |
| . . |
| S . o + o|
| . + + o O.|
| Eo + +.o *.O|
| + + + =*B+**|
| .. . +BBOB+o|
+----[SHA256]-----+

3.生成ssh-copy-id

ssh-copy-id是一个方便的工具，用于将本地计算机上的公钥复制到远程服务器的授权密钥列表中，以实现无密码的SSH登录。

[root@control ~]# ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

4.验证

[root@control ~]# ssh node1
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node1 ~]#

[root@control ~]# ssh node2
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Wed Aug 2 05:10:12 2023 from 192.168.197.152
[root@node2 ~]#

也可以通过ansible的ping模块进行测试

首先在/etcansible/hosts下添加两个主机名称

测试

[root@control ~]# ansible node1,node2 -m ping -o
node1 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}
node2 | SUCCESS => {"ansible_facts": {"discovered_interpreter_python": "/usr/libexec/platform-python"},"changed": false,"ping": "pong"}

案例二-----免密普通用户提权

描述：控制主机和受控主机通过普通用户以免密验证远程控制主机实施特权控制操作

效果展示

没提权之前，是执行不了某些权限的，如需要root权限去添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.
useradd: cannot lock /etc/passwd; try again later.

提权之后：

[redhat@control ~]$ ssh node1 sudo useradd user1
[redhat@control ~]$

解决方案

1.使用普通用户，与案例一一样，进行发送密钥对和id

keygen

[redhat@control ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/redhat/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/redhat/.ssh/id_rsa.
Your public key has been saved in /home/redhat/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:2JMBtnjN6BCC7cUpqkeZqWgKvSm3DyIhcbd8LdUYiIw redhat@control
The key's randomart image is:
+---[RSA 3072]----+
| o.+.oo.. |
|. E.*+.* + |
|.o.*+ + * . |
|.o*o = = o |
|=+ o = S |
|*oo . . . |
|*..o |
|+.+. |
| o.o. |
+----[SHA256]-----+

copy-id

[redhat@control ~]$ ssh-copy-id -i node1
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/redhat/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
redhat@node1's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'node1'"
and check to make sure that only the key(s) you wanted were added.

测试

[redhat@control ~]$ ssh node1 hostname
node1

测试添加用户

[redhat@control ~]$ ssh node1 useradd user1
useradd: Permission denied.--------》被拒绝，没有权限
useradd: cannot lock /etc/passwd; try again later.

2.在node1用户下的/etc/sudoers/中

修改：

查看修改是否成功

[root@node1 ~]# cat /etc/sudoers | grep wheel
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
%wheel ALL=(ALL) NOPASSWD: ALL

然后给权限

gpasswd 就是将redhat用户添加到whell组中，必须要执行这个，不然是会出错的，redhat用户不能正常使用提权

[root@node1 ~]# gpasswd -a redhat wheel
Adding user redhat to group wheel

[redhat@control ~]$ ssh node1 sudo useradd user1
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Creating mailbox file: File exists

有警告，但是可用，可能我添加出错了node2可正常使用

node2机子一样的设置，只需要给%wheel添加一个NOPASSWD，这个%代表组的意思，就是添加在组里面，这个组都可以访问，不需要密码

[redhat@control ~]$ ssh node2 sudo useradd user1
[redhat@control ~]$

查看：

有用户

ansible控制主机和受控主机之间免密及提权案例

目录案例描述环境准备案例一--免密远程控制主机效果展示： 解决方案 1.添加主机 2.通过ssh-key生成密钥对 3.生成ssh-copy-id 4.验证案例二-----免密普通用户提权效果展示解决方案 1.使用普通用户，与案例一一样，进行发送密钥…...

编程日记 2023/8/6 5:20:08

flink1.17 eventWindow不要配置processTrigger

理论上可以eventtime processtime混用,但是下面代码测试发现bug,输入一条数据会一直输出. flink github无法提bug/问题. apache jira账户新建后竟然flink又需要一个账户,放弃 bug复现操作 idea运行代码后往source kafka发送一条数据 a,1,1690304400000 可以看到无限输出…...

编程日记 2023/8/6 5:19:04

sql代码 SELECTtableName D.name ,tableIntroduce isnull(F.value, ),sort A.colorder,fieldName A.name,catogary B.name,bytes A.Length,lengths COLUMNPROPERTY(A.id, A.name, PRECISION),scales isnull(COLUMNPROPERTY(A.id, A.name, Scale), 0),isOrNotNull Cas…...

编程日记 2023/8/6 5:17:56

PB:DDE服务器函数

1、GetCommandDDE() 功能：得到DDE客户应用发送的命令。语法：GetCommandDDE ( string ) 参数：string：string类型的变量，用于保存DDE客户应用发送的命令。返回值：Integer。函数执行成功时返回1，发生错误时返回-1。如果string参数的值为NULL， GetCommandDDE()…...

编程日记 2023/8/6 5:16:55

awk经典实战、正则表达式

目录 1.筛选给定时间范围内的日志 2.统计独立IP 案列需求代码运行结果 3.根据某字段去重案例运行结果 4.正则表达式 1）认识正则 2）匹配字符 3）匹配次数 4）位置锚定：定位出现的位置 5）分组…...

编程日记 2023/8/6 5:15:53

Python脚本-时间盲注

BlindBool_get import requests from optparse import OptionParser import threading#存放变量 DBName "" DBTables [] DBColumns [] DBData {} flag You are in #设置重连次数以及将连接改为短连接 #防止因为HTTP连接数过多导致的MAX retries exceeded with …...

编程日记 2023/8/6 5:14:51

面试总结-Redis篇章(十)——Redis哨兵模式、集群脑裂

Redis哨兵模式、集群脑裂哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂解决办法哨兵模式为了保证Redis的高可用，Redis提供了哨兵模式哨兵的作用服务状态监控 Redis集群（哨兵模式）脑裂假设由于网络原…...

编程日记 2023/8/6 5:13:50

el-table那些事

el-table那些事获取el-table所有勾选的行数据用于记录工作和日常学习遇到的坑，需求。 vue3element-plusts 获取el-table所有勾选的行数据 1、需要先声明一个ref变量，并赋值给el-table 2、通过el-table提供的getSelectionRows()函数获取选中的"行…...

编程日记 2023/8/6 5:12:48

kubernetes（一）

文章目录 1. k8s架构2. k8s集群搭建 1. k8s架构 2. k8s集群搭建...

编程日记 2023/8/6 5:11:47

计算机网络（6） --- https协议

计算机网络（5） --- http协议_哈里沃克的博客-CSDN博客http协议https://blog.csdn.net/m0_63488627/article/details/132089130?spm1001.2014.3001.5501 目录 1.HTTPS的出现 1.HTTPS协议介绍 2.补充概念 1.加密 1.解释 2.原因 3.加密方式对称加…...

编程日记 2023/8/6 5:10:46

（三）Node.js - 模块化

1. Node.js中的模块化 Node.js中根据模块来源不同，将模块分为了3大类，分别是： 内置模块：内置模块由Node.js官方提供的，例如fs、path、http等自定义模块：用户创建的每个.js文件，都是自定义模块…...

编程日记 2023/8/6 5:09:45

502 bad gateway报错

代码在本地运行可以正常访问后端接口，部署服务器报错502。直接检查防火墙状态是否开启，先关闭防火墙试一下。如果是防火墙的原因在打开防火墙，开放需要的端口即可。 1、先查看防火墙状态： systemctl status firewalld2、停止防火…...

编程日记 2023/8/6 5:08:44

Flink学习教程

最近因为用到了Flink，所以博主开了《Flink教程》专栏来记录Flink的学习笔记。【Apache Flink v1.16 中文文档】【官网 - Apache Flink v1.3 中文文档】一、基础参考链接如下： Flink教程（01）- Flink知识图谱Flink教程&…...

编程日记 2023/8/6 5:07:43

flutter开发实战-实现音效soundpool播放音频及控制播放暂停停止设置音量

flutter开发实战-实现音效soundpool播放音频最近开发过程中遇到低配置设备时候，在Media播放音频时候出现音轨限制问题。所以将部分音频采用音效sound来播放。一、音效类似iOS中的Sound 在iOS中使用sound来播放mp3音频示例如下 // 通过通知的Sound设置为voip_c…...

编程日记 2023/8/6 5:06:42

Sequence 2023牛客暑期多校训练营6 E

编程日记 2023/8/6 5:04:39

【ASP.NET MVC】使用动软（二）（10）

一、添加动软生成工程按前文添加动态到工程双击动软完成新建数据库服务器后 ，需要关闭重新打开选择简单三层，注意保存位置注意切换数据库： 生成后拷贝五个文件夹到工程目录注意目录结构： 添加四个项目到原来的工程&…...

编程日记 2023/8/6 5:03:38

STM32入门学习之独立看门狗（IWDG）

1.STM32的独立看门狗是一个具有独立时钟的片上外设。通常，为了防止程序卡死，可以设置看门狗定时复位。当看看门狗被使能之后，会按初始化时设置的计数值进行计数。当根据计数值计数的倒数时间为0时，便会自动复位程序，即…...

编程日记 2023/8/6 5:02:36

抖音seo矩阵系统源码搭建开发详解

抖音SEO矩阵系统是一个用于提高抖音视频在搜索引擎排名的工具。如果你想开发自己的抖音SEO矩阵系统，以下是详细的步骤： 开发步骤详解： 确定你需要的功能和算法抖音SEO矩阵系统包含很多功能，比如关键词研究、内容优化、链接建设、…...

编程日记 2023/8/6 5:01:35

2685. 统计完全连通分量的数量；2718. 查询后矩阵的和；1600. 王位继承顺序

2685. 统计完全连通分量的数量核心思想：枚举所有的连通分量，然后判断这些连通分量是不是完全连通分量，完全连通分量满足边数2e 点数v(v-1)。 2718. 查询后矩阵的和核心思想：后面的改变更重要，所以我们直接逆向思维…...

编程日记 2023/8/6 5:00:34

SpringBoot统一功能处理（AOP思想实现）（统一用户登录权限验证 / 异常处理 / 数据格式返回）

主要是三个处理： 1、统一用户登录权限验证； 2、统一异常处理； 3、统一数据格式返回。目录一、用户登录权限校验 🍅 1、使用拦截器 🎈 1.1自定义拦截器 🎈 1.2 设置自定义拦截器 🎈创建cont…...

编程日记 2023/8/6 4:59:32

Python爬虫实战：研究MechanicalSoup库相关技术

一、MechanicalSoup 库概述 1.1 库简介 MechanicalSoup 是一个 Python 库，专为自动化交互网站而设计。它结合了 requests 的 HTTP 请求能力和 BeautifulSoup 的 HTML 解析能力，提供了直观的 API，让我们可以像人类用户一样浏览网页、填写表单和提交请求。 1.2 主要功能特点…...

编程新知 2025/10/10 18:13:55

【Python】 -- 趣味代码 - 小恐龙游戏

文章目录文章目录 00 小恐龙游戏程序设计框架代码结构和功能游戏流程总结01 小恐龙游戏程序设计02 百度网盘地址00 小恐龙游戏程序设计框架这段代码是一个基于 Pygame 的简易跑酷游戏的完整实现，玩家控制一个角色（龙）躲避障碍物（仙人掌和乌鸦）。以下是代码的详细介绍：…...

编程新知 2026/2/8 20:43:07

进程地址空间（比特课总结）

一、进程地址空间 1. 环境变量 1 ）⽤户级环境变量与系统级环境变量全局属性：环境变量具有全局属性，会被⼦进程继承。例如当bash启动⼦进程时，环境变量会⾃动传递给⼦进程。本地变量限制：本地变量只在当前进程(ba…...

编程新知 2025/11/15 6:48:52

解锁数据库简洁之道：FastAPI与SQLModel实战指南

在构建现代Web应用程序时，与数据库的交互无疑是核心环节。虽然传统的数据库操作方式（如直接编写SQL语句与psycopg2交互）赋予了我们精细的控制权，但在面对日益复杂的业务逻辑和快速迭代的需求时，这种方式的开发效率和可…...

编程新知 2025/8/13 16:42:24

【论文笔记】若干矿井粉尘检测算法概述

总的来说，传统机器学习、传统机器学习与深度学习的结合、LSTM等算法所需要的数据集来源于矿井传感器测量的粉尘浓度，通过建立回归模型来预测未来矿井的粉尘浓度。传统机器学习算法性能易受数据中极端值的影响。YOLO等计算机视觉算法所需要的数据集来源于…...

编程新知 2025/10/14 10:52:24

华为OD机试-食堂供餐-二分法

import java.util.Arrays; import java.util.Scanner;public class DemoTest3 {public static void main(String[] args) {Scanner in new Scanner(System.in);// 注意 hasNext 和 hasNextLine 的区别while (in.hasNextLine()) { // 注意 while 处理多个 caseint a in.nextIn…...

编程新知 2026/1/28 11:11:03