1. 引言

在现代IT基础设施管理中,自动化运维已成为提高效率、减少人为错误和确保一致性的关键手段。Ansible作为一款领先的自动化运维工具,以其简单易用、无代理架构和强大的功能而广受欢迎。然而,随着自动化程度的提高,如何安全管理和保护敏感配置信息(如密码、API密钥、证书等)成为了一个重要挑战。Ansible Vault作为Ansible提供的加密技术,为这一问题提供了有效的解决方案。本文将详细介绍Ansible自动化运维与Ansible Vault加密技术,探讨如何安全管理和保护敏感配置信息。

2. Ansible简介与基本概念

2.1 Ansible概述

Ansible是一款开源的自动化运维工具,由Michael DeHaan于2012年创建,后于2015年被Red Hat收购。它采用无代理架构,通过SSH或PowerShell远程管理节点,无需在受管节点上安装任何客户端软件。Ansible使用YAML语言编写配置文件,称为Playbook,这些文件描述了系统的期望状态。

2.2 核心组件

Ansible主要由以下几个核心组件组成:

  • 控制节点(Control Node):运行Ansible的机器,从那里执行Playbook和管理受管节点。
  • 受管节点(Managed Nodes):被Ansible管理的设备,如服务器、网络设备等。
  • 清单(Inventory):定义受管节点的列表,可以按组组织。
  • Playbook:YAML格式的文件,包含一系列任务,定义了系统的配置状态。
  • 模块(Modules):Ansible执行任务的工具,每个模块执行特定的功能。
  • 角色(Roles):一种组织Playbook的方式,用于分享和重用Ansible代码。

2.3 Ansible工作原理

Ansible的工作原理可以概括为以下几个步骤:

  1. 控制节点连接到受管节点(通常通过SSH)。
  2. 控制节点将模块或Playbook传输到受管节点的临时目录。
  3. 控制节点在受管节点上执行模块或Playbook。
  4. 受管节点将执行结果返回给控制节点。
  5. 控制节点删除临时文件,完成一次执行。

3. Ansible在自动化运维中的应用

3.1 配置管理

Ansible可以用于自动化配置管理,确保系统配置的一致性和标准化。通过Playbook,可以定义系统的期望状态,Ansible会负责将系统调整到该状态。

例如,以下是一个简单的Playbook,用于安装和启动Nginx服务器:

--- - name: Install and start Nginx hosts: webservers become: yes tasks: - name: Install Nginx apt: name: nginx state: present update_cache: yes - name: Start Nginx service service: name: nginx state: started enabled: yes

3.2 应用部署

Ansible可以自动化应用部署流程,从代码拉取、依赖安装到服务启动,实现一键部署。

以下是一个部署Web应用的Playbook示例:

--- - name: Deploy web application hosts: webservers become: yes vars: app_dir: /var/www/myapp repo_url: https://github.com/user/myapp.git tasks: - name: Install required packages apt: name: "{{ item }}" state: present with_items: - git - python3 - python3-pip - name: Clone the repository git: repo: "{{ repo_url }}" dest: "{{ app_dir }}" version: main - name: Install Python dependencies pip: requirements: "{{ app_dir }}/requirements.txt" executable: pip3 - name: Configure and start the application template: src: templates/app.service.j2 dest: /etc/systemd/system/app.service notify: - Start application handlers: - name: Start application systemd: name: app state: started enabled: yes daemon_reload: yes

3.3 持续交付与集成

Ansible可以与CI/CD工具(如Jenkins、GitLab CI等)集成,实现持续交付和集成。通过在CI/CD流水线中调用Ansible Playbook,可以自动化测试、部署和发布流程。

以下是一个Jenkinsfile示例,展示了如何在Jenkins流水线中使用Ansible:

pipeline { agent any stages { stage('Checkout') { steps { checkout scm } } stage('Run Tests') { steps { sh 'pytest tests/' } } stage('Deploy with Ansible') { steps { ansiblePlaybook( playbook: 'deploy.yml', inventory: 'inventory/production', credentialsId: 'ssh-key-for-deployment' ) } } } }

3.4 安全与合规

Ansible可以用于自动化安全配置和合规检查,确保系统符合安全标准和政策要求。

以下是一个实施基本安全配置的Playbook示例:

--- - name: Apply security hardening hosts: all become: yes tasks: - name: Ensure SSH root login is disabled lineinfile: path: /etc/ssh/sshd_config regexp: '^PermitRootLogin' line: 'PermitRootLogin no' notify: - Restart SSH - name: Ensure password authentication is disabled lineinfile: path: /etc/ssh/sshd_config regexp: '^PasswordAuthentication' line: 'PasswordAuthentication no' notify: - Restart SSH - name: Ensure firewall is installed and running apt: name: ufw state: present - name: Configure firewall ufw: state: enabled policy: deny rule: allow name: OpenSSH handlers: - name: Restart SSH service: name: sshd state: restarted

4. 敏感配置信息管理的挑战

4.1 敏感信息的类型

在自动化运维过程中,需要处理的敏感信息包括但不限于:

  • 用户名和密码:用于系统登录、数据库连接、API访问等。
  • API密钥和令牌:用于访问云服务、第三方API等。
  • SSL证书和私钥:用于加密通信和身份验证。
  • 数据库连接字符串:包含数据库位置、凭据等信息。
  • 加密密钥:用于数据加密和解密。

4.2 管理挑战

管理这些敏感信息面临以下挑战:

  1. 安全性:确保敏感信息不被未授权访问。
  2. 可追溯性:跟踪谁在何时访问了哪些敏感信息。
  3. 轮换:定期更新密码和密钥,以减少泄露风险。
  4. 共享:在团队成员之间安全地共享敏感信息。
  5. 审计:记录敏感信息的使用情况,以满足合规要求。
  6. 集成:将敏感信息管理无缝集成到自动化流程中。

4.3 传统方法的局限性

传统的敏感信息管理方法(如将密码硬编码在脚本中、使用明文配置文件等)存在以下局限性:

  • 安全性差:敏感信息以明文形式存储,容易被泄露。
  • 难以管理:随着系统数量增加,手动管理变得困难且容易出错。
  • 缺乏版本控制:难以跟踪敏感信息的变化历史。
  • 不便于共享:在团队中共享敏感信息存在安全风险。
  • 审计困难:难以记录和审计敏感信息的使用情况。

5. Ansible Vault技术详解

5.1 Ansible Vault概述

Ansible Vault是Ansible提供的一个加密工具,用于加密和解密Ansible项目中的敏感数据。它允许用户将敏感信息(如密码、API密钥等)存储在加密的文件中,然后在Playbook执行时自动解密使用。

Ansible Vault的主要特点:

  • 文件级别加密:可以加密整个YAML文件,包括变量、任务等。
  • 多种加密方式:支持对称加密和非对称加密。
  • 密码管理:可以使用密码文件或环境变量来管理加密密码。
  • 集成性好:与Ansible工作流无缝集成,使用简单。
  • 版本控制友好:加密后的文件可以安全地存储在版本控制系统中。

5.2 Ansible Vault工作原理

Ansible Vault使用AES-256加密算法对文件进行加密。当使用Vault加密文件时,Ansible会使用提供的密码对文件内容进行加密,并将加密后的内容写入文件。当需要使用这些文件时,Ansible会使用相同的密码解密文件内容。

加密和解密过程对用户是透明的,用户只需要在执行Ansible命令时提供Vault密码即可。

5.3 支持的加密文件类型

Ansible Vault可以加密以下类型的文件:

  • 变量文件:包含变量定义的YAML文件。
  • 任务文件:包含任务定义的YAML文件。
  • Playbook文件:完整的Playbook文件。
  • 角色文件:角色中的任何文件。
  • 任何文本文件:实际上,Ansible Vault可以加密任何文本文件。

5.4 Ansible Vault加密算法

Ansible Vault默认使用AES-256加密算法,这是一种广泛认可的安全加密标准。用户可以通过配置文件更改加密算法,但建议使用默认设置以确保最佳安全性。

6. 如何使用Ansible Vault保护敏感信息

6.1 安装与配置

Ansible Vault是Ansible的一部分,因此安装Ansible后即可使用。确保使用的是Ansible 2.0或更高版本,以获得最佳的Vault功能。

可以通过编辑ansible.cfg文件来配置Ansible Vault的一些默认行为:

[defaults] vault_password_file = ~/.vault_pass

这里指定了Vault密码文件的默认位置。

6.2 创建加密文件

可以使用ansible-vault命令创建加密文件:

ansible-vault create secrets.yml

执行此命令后,系统会提示输入Vault密码,然后打开一个编辑器(默认为vi),用户可以在其中输入敏感信息。保存并退出编辑器后,文件将被加密并保存。

例如,创建一个包含数据库凭据的加密文件:

db_user: admin db_password: S3cr3tP@ssw0rd db_host: 10.0.0.10 db_name: production_db

6.3 加密现有文件

如果已经有包含敏感信息的文件,可以使用以下命令加密它们:

ansible-vault encrypt existing_secrets.yml

系统会提示输入Vault密码,然后文件将被加密。

6.4 编辑加密文件

要编辑已加密的文件,可以使用以下命令:

ansible-vault edit secrets.yml

系统会提示输入Vault密码,然后打开一个编辑器,用户可以在其中修改文件内容。保存并退出编辑器后,文件将被重新加密。

6.5 解密文件

如果需要查看或修改加密文件的内容,可以临时解密它:

ansible-vault decrypt secrets.yml --output=secrets_decrypted.yml

这会将解密后的内容写入新文件,原始加密文件保持不变。

6.6 更改Vault密码

要更改文件的Vault密码,可以使用以下命令:

ansible-vault rekey secrets.yml

系统会提示输入当前密码和新密码,然后使用新密码重新加密文件。

6.7 在Playbook中使用加密文件

在Playbook中使用加密文件与使用普通变量文件类似,只需要在执行Playbook时提供Vault密码:

ansible-playbook --ask-vault-pass site.yml

或者,如果已经设置了Vault密码文件:

ansible-playbook --vault-password-file ~/.vault_pass site.yml

以下是一个使用加密变量文件的Playbook示例:

--- - name: Configure database hosts: db_servers become: yes vars_files: - secrets.yml tasks: - name: Install MySQL apt: name: mysql-server state: present - name: Create database user mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" host: '%' state: present - name: Create database mysql_db: name: "{{ db_name }}" state: present

6.8 使用Vault加密字符串

Ansible 2.3及以上版本支持加密单个变量,而不是整个文件。这对于在Playbook中嵌入敏感信息非常有用。

可以使用以下命令加密字符串:

ansible-vault encrypt_string 'S3cr3tP@ssw0rd' --name 'db_password'

输出将是一个可用于Playbook的加密变量:

db_password: !vault | $ANSIBLE_VAULT;1.1;AES256 63653932623734383232663563613463653764376635353365636263373234613236383361353962 6665346665373362310a373663316662653431313732346236633936366666643362303066366539 6237656130363135613235363138663930393665373539346462310a326234366261666332653237 616432316537643065346461393439383665

可以将这个加密变量直接包含在Playbook中:

--- - name: Configure database hosts: db_servers become: yes vars: db_user: admin db_password: !vault | $ANSIBLE_VAULT;1.1;AES256 63653932623734383232663563613463653764376635353365636263373234613236383361353962 6665346665373362310a373663316662653431313732346236633936366666643362303066366539 6237656130363135613235363138663930393665373539346462310a326234366261666332653237 616432316537643065346461393439383665 db_host: 10.0.0.10 db_name: production_db tasks: - name: Install MySQL apt: name: mysql-server state: present - name: Create database user mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" host: '%' state: present - name: Create database mysql_db: name: "{{ db_name }}" state: present

6.9 使用多个Vault密码

在大型项目中,可能需要使用多个Vault密码来加密不同的文件。Ansible支持通过脚本或可执行文件来提供多个Vault密码。

创建一个可执行的脚本文件(如vault_pass.sh):

#!/bin/bash # 根据文件路径返回相应的Vault密码 case "$1" in *production*) echo "production_vault_password" ;; *development*) echo "development_vault_password" ;; *) echo "default_vault_password" ;; esac

确保脚本可执行:

chmod +x vault_pass.sh

然后,在ansible.cfg中配置:

[defaults] vault_password_file = ./vault_pass.sh

现在,Ansible将根据文件路径自动选择适当的Vault密码。

6.10 与版本控制系统集成

使用Ansible Vault的一个主要优点是加密文件可以安全地存储在版本控制系统(如Git)中。这样,敏感信息既得到了保护,又能享受版本控制的好处。

以下是一些最佳实践:

  1. 加密所有敏感文件:确保所有包含敏感信息的文件都使用Ansible Vault加密。
  2. 将Vault密码文件排除在版本控制之外:将Vault密码文件添加到.gitignore中,以避免意外提交。
  3. 使用分支管理不同环境的配置:为不同环境(开发、测试、生产)使用不同的分支和Vault密码。
  4. 限制访问权限:限制对加密文件和Vault密码的访问权限。

7. 最佳实践和案例分析

7.1 安全最佳实践

使用Ansible Vault时,应遵循以下安全最佳实践:

  1. 使用强密码:Vault密码应足够复杂,包含大小写字母、数字和特殊字符。
  2. 定期更换密码:定期更换Vault密码,以减少潜在的安全风险。
  3. 分离不同环境的敏感信息:为不同环境(开发、测试、生产)使用不同的Vault密码和文件。
  4. 限制Vault密码的访问:严格控制谁可以访问Vault密码,考虑使用密码管理工具。
  5. 不要硬编码密码:避免在脚本或代码中硬编码Vault密码。
  6. 使用Vault ID进行多环境管理:对于复杂项目,使用Vault ID来管理不同环境的加密文件。
  7. 审计和监控:定期审计Vault的使用情况,监控异常访问。

7.2 组织结构最佳实践

在大型项目中,合理组织Ansible Vault文件结构非常重要:

  1. 分层结构:按照环境、应用程序或组件组织Vault文件。
  2. 命名约定:使用一致的命名约定,如secrets_<environment>.yml
  3. 文档化:记录Vault文件的结构和内容,但不要记录敏感信息本身。
  4. 最小权限原则:每个Vault文件只包含必要的敏感信息,遵循最小权限原则。
  5. 定期审查:定期审查和清理不再使用的敏感信息。

以下是一个推荐的目录结构示例:

ansible_project/ ├── group_vars/ │ ├── all/ │ │ └── secrets.yml │ ├── development/ │ │ └── secrets.yml │ ├── staging/ │ │ └── secrets.yml │ └── production/ │ └── secrets.yml ├── host_vars/ │ ├── server1/ │ │ └── secrets.yml │ └── server2/ │ └── secrets.yml ├── roles/ │ ├── database/ │ │ ├── defaults/ │ │ │ └── main.yml │ │ └── vars/ │ │ └── secrets.yml │ └── webapp/ │ ├── defaults/ │ │ └── main.yml │ └── vars/ │ └── secrets.yml ├── playbooks/ │ ├── deploy.yml │ └── configure.yml ├── inventory/ │ ├── development │ ├── staging │ └── production └── ansible.cfg

7.3 案例分析:多环境Web应用部署

假设我们有一个Web应用,需要在开发、测试和生产环境中部署,每个环境都有不同的数据库凭据和API密钥。

7.3.1 目录结构

webapp_project/ ├── group_vars/ │ ├── all/ │ │ └── common.yml │ ├── development/ │ │ └── secrets.yml │ ├── staging/ │ │ └── secrets.yml │ └── production/ │ └── secrets.yml ├── roles/ │ ├── webapp/ │ │ ├── tasks/ │ │ │ └── main.yml │ │ ├── templates/ │ │ │ └── config.ini.j2 │ │ └── vars/ │ │ └── main.yml │ └── database/ │ ├── tasks/ │ │ └── main.yml │ └── vars/ │ └── main.yml ├── playbooks/ │ └── deploy.yml ├── inventory/ │ ├── development │ ├── staging │ └── production ├── vault_pass.sh └── ansible.cfg

7.3.2 Vault密码脚本

vault_pass.sh内容:

#!/bin/bash # 根据文件路径返回相应的Vault密码 case "$1" in *production*) echo "prod_vault_strong_password" ;; *staging*) echo "stage_vault_password" ;; *development*) echo "dev_vault_password" ;; *) echo "default_vault_password" ;; esac

7.3.3 加密的变量文件

group_vars/development/secrets.yml(已加密):

db_user: dev_user db_password: dev_password db_name: dev_webapp api_key: dev_api_key_12345

group_vars/staging/secrets.yml(已加密):

db_user: stage_user db_password: stage_password db_name: stage_webapp api_key: stage_api_key_67890

group_vars/production/secrets.yml(已加密):

db_user: prod_user db_password: prod_strong_password db_name: prod_webapp api_key: prod_api_key_abcde

7.3.4 Playbook

playbooks/deploy.yml

--- - name: Deploy web application hosts: webapp_servers become: yes roles: - database - webapp

7.3.5 数据库角色

roles/database/tasks/main.yml

--- - name: Install MySQL apt: name: mysql-server state: present update_cache: yes - name: Start MySQL service service: name: mysql state: started enabled: yes - name: Create database user mysql_user: name: "{{ db_user }}" password: "{{ db_password }}" priv: "{{ db_name }}.*:ALL" host: '%' state: present - name: Create database mysql_db: name: "{{ db_name }}" state: present

7.3.6 Web应用角色

roles/webapp/tasks/main.yml

--- - name: Install required packages apt: name: "{{ item }}" state: present with_items: - python3 - python3-pip - nginx - name: Create application directory file: path: /opt/webapp state: directory owner: www-data group: www-data - name: Copy application files copy: src: files/ dest: /opt/webapp/ owner: www-data group: www-data - name: Install Python dependencies pip: requirements: /opt/webapp/requirements.txt executable: pip3 - name: Generate configuration file template: src: config.ini.j2 dest: /opt/webapp/config.ini owner: www-data group: www-data - name: Configure nginx template: src: nginx.conf.j2 dest: /etc/nginx/sites-available/webapp notify: - Restart nginx - name: Enable nginx site file: src: /etc/nginx/sites-available/webapp dest: /etc/nginx/sites-enabled/webapp state: link notify: - Restart nginx - name: Start application service systemd: name: webapp state: started enabled: yes daemon_reload: yes

roles/webapp/templates/config.ini.j2

[database] host = localhost user = {{ db_user }} password = {{ db_password }} database = {{ db_name }} [api] key = {{ api_key }}

7.3.7 部署命令

部署到开发环境:

ansible-playbook -i inventory/development playbooks/deploy.yml

部署到测试环境:

ansible-playbook -i inventory/staging playbooks/deploy.yml

部署到生产环境:

ansible-playbook -i inventory/production playbooks/deploy.yml

7.4 案例分析:与外部密码管理工具集成

在某些情况下,可能需要将Ansible Vault与外部密码管理工具(如HashiCorp Vault、AWS Secrets Manager等)集成,以实现更高级的密码管理功能。

7.4.1 与HashiCorp Vault集成

HashiCorp Vault是一个强大的密码管理工具,可以与Ansible集成使用。以下是一个简单的集成示例:

首先,安装HashiCorp Vault和相关的Python库:

pip install hvac ansible-vault

然后,创建一个自定义的Vault密码脚本,从HashiCorp Vault获取密码:

vault_pass_from_hashicorp.py

#!/usr/bin/env python3 import os import sys import hvac # HashiCorp Vault配置 VAULT_ADDR = os.environ.get('VAULT_ADDR', 'http://127.0.0.1:8200') VAULT_TOKEN = os.environ.get('VAULT_TOKEN', 'your-vault-token') # 获取Ansible Vault密码的路径 ANSIBLE_VAULT_PATH = 'secret/ansible/vault_password' def get_vault_password(): """从HashiCorp Vault获取Ansible Vault密码""" client = hvac.Client(url=VAULT_ADDR, token=VAULT_TOKEN) if not client.is_authenticated(): print("Failed to authenticate with HashiCorp Vault", file=sys.stderr) sys.exit(1) try: response = client.secrets.kv.v2.read_secret_version( path=ANSIBLE_VAULT_PATH ) return response['data']['data']['password'] except Exception as e: print(f"Failed to get Ansible Vault password from HashiCorp Vault: {e}", file=sys.stderr) sys.exit(1) if __name__ == '__main__': print(get_vault_password())

ansible.cfg中配置:

[defaults] vault_password_file = ./vault_pass_from_hashicorp.py

现在,Ansible将从HashiCorp Vault获取Vault密码,而不是从本地文件。

7.4.2 与AWS Secrets Manager集成

AWS Secrets Manager是Amazon提供的密码管理服务,也可以与Ansible集成使用。

首先,安装必要的Python库:

pip install boto3 ansible-vault

然后,创建一个自定义的Vault密码脚本,从AWS Secrets Manager获取密码:

vault_pass_from_aws.py

#!/usr/bin/env python3 import os import sys import boto3 # AWS Secrets Manager配置 SECRET_NAME = os.environ.get('AWS_SECRET_NAME', 'ansible/vault_password') REGION_NAME = os.environ.get('AWS_REGION', 'us-east-1') def get_vault_password(): """从AWS Secrets Manager获取Ansible Vault密码""" session = boto3.session.Session() client = session.client(service_name='secretsmanager', region_name=REGION_NAME) try: response = client.get_secret_value(SecretId=SECRET_NAME) return response['SecretString'] except Exception as e: print(f"Failed to get Ansible Vault password from AWS Secrets Manager: {e}", file=sys.stderr) sys.exit(1) if __name__ == '__main__': print(get_vault_password())

ansible.cfg中配置:

[defaults] vault_password_file = ./vault_pass_from_aws.py

现在,Ansible将从AWS Secrets Manager获取Vault密码。

8. 总结与展望

8.1 总结

Ansible作为一款强大的自动化运维工具,为IT基础设施管理提供了简单而高效的解决方案。而Ansible Vault作为其内置的加密技术,为敏感配置信息的安全管理提供了有效手段。通过使用Ansible Vault,组织可以:

  1. 保护敏感信息:加密存储密码、API密钥、证书等敏感信息,防止未授权访问。
  2. 简化管理:将敏感信息纳入自动化流程,减少手动管理的工作量和错误风险。
  3. 提高协作效率:安全地共享敏感信息,促进团队协作。
  4. 满足合规要求:通过加密和审计功能,满足各种安全和合规要求。
  5. 与版本控制集成:安全地将敏感信息存储在版本控制系统中,享受版本控制的好处。

8.2 最佳实践回顾

在使用Ansible Vault时,应遵循以下最佳实践:

  1. 使用强密码:确保Vault密码足够复杂,不易被猜测或破解。
  2. 分离环境:为不同环境(开发、测试、生产)使用不同的Vault密码和文件。
  3. 限制访问:严格控制对Vault密码和加密文件的访问权限。
  4. 定期轮换:定期更换Vault密码和敏感信息,减少安全风险。
  5. 合理组织:按照环境、应用程序或组件组织Vault文件,保持结构清晰。
  6. 审计和监控:定期审计Vault的使用情况,监控异常访问。
  7. 与密码管理工具集成:考虑将Ansible Vault与专业的密码管理工具集成,提高安全性。

8.3 未来展望

随着自动化运维的不断发展,Ansible和Ansible Vault也在不断演进。未来,我们可以期待以下发展趋势:

  1. 更强的加密算法:随着密码学的发展,Ansible Vault可能会支持更强大的加密算法。
  2. 更好的密钥管理:改进密钥管理机制,支持更灵活的密钥轮换和分发。
  3. 与云服务的深度集成:与云服务提供商的密码管理服务(如AWS Secrets Manager、Azure Key Vault等)的深度集成。
  4. 更细粒度的访问控制:提供更细粒度的访问控制,支持基于角色的访问控制(RBAC)。
  5. 增强的审计功能:提供更详细的审计日志,支持安全事件分析和合规报告。
  6. 更友好的用户界面:提供更友好的用户界面,简化Vault的使用和管理。

8.4 结语

在当今数字化时代,自动化运维已成为IT管理的必然选择,而信息安全则是自动化运维中不可忽视的重要环节。Ansible Vault作为Ansible生态系统中的一员,为敏感配置信息的安全管理提供了有效的解决方案。通过合理使用Ansible Vault,组织可以在享受自动化带来的效率提升的同时,确保敏感信息的安全性,实现安全与效率的平衡。

随着技术的不断发展,我们有理由相信,Ansible Vault将继续演进,为自动化运维安全提供更加强大和灵活的解决方案。作为IT从业者,我们应密切关注这些发展趋势,不断学习和实践,以应对日益复杂的安全挑战。

通过本文的介绍,相信读者已经对Ansible自动化运维与Ansible Vault加密技术有了更深入的了解,并能够将其应用于实际工作中,安全管理和保护敏感配置信息。