View a markdown version of this page

Metadata repositori masuk AL2023 - Amazon Linux 2023
Cara kerja penandatanganan metadata repositoriPerbedaan antara gpgcheck dan repo_gpgcheckMengaktifkan verifikasi metadata repositoriMemverifikasi bahwa penandatanganan metadata repositori berfungsiKunci publik GPG untuk repositori AL2023

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Metadata repositori masuk AL2023

Dimulai dengan rilis2023.11.20260406, AL2023 repositori menyertakan tanda tangan kriptografi untuk metadata repositori. Setiap file repositori disertai dengan repomd.xml file tanda tangan GPG terpisah (repomd.xml.asc) yang dapat Anda gunakan untuk memverifikasi keaslian dan integritas metadata repositori sebelum paket diunduh.

Penandatanganan ini merupakan tambahan dari penandatanganan paket RPM yang ada (gpgcheck), yang memverifikasi paket individual. Penandatanganan metadata repositori memverifikasi metadata yang menjelaskan isi repositori, seperti daftar paket yang tersedia dan checksumnya.

Cara kerja penandatanganan metadata repositori

Ketika AL2023 repositori diterbitkan, metadata repositori (repomd.xml) ditandatangani menggunakan kunci KMS. AWS Tanda tangan terpisah (repomd.xml.asc) yang dihasilkan ditempatkan di samping metadata di repositori.

Saat Anda mengaktifkan repo_gpgcheck konfigurasi repositori Anda, DNF secara otomatis mengunduh dan memverifikasi repomd.xml.asc tanda tangan terhadap kunci publik GPG sebelum menggunakan metadata repositori. Jika verifikasi tanda tangan gagal, DNF tolak metadata repositori dan tidak melanjutkan operasi paket dari repositori tersebut. Untuk informasi selengkapnyarepo_gpgcheck, lihat Referensi DNF Konfigurasi.

AL2023 Repositori berikut mencakup metadata yang ditandatangani:

  • Repositori inti () amazonlinux

  • Repositori Kernel Livepatch () kernel-livepatch

  • Repositori NVIDIA () amazonlinux-nvidia

  • Paket Tambahan untuk repositori Amazon Linux () amazonlinux-spal

Perbedaan antara gpgcheck dan repo_gpgcheck

Pengaturan Apa yang diverifikasi Default di AL2023
gpgcheck=1 Memverifikasi tanda tangan GPG dari masing-masing paket RPM sebelum instalasi. Diaktifkan
repo_gpgcheck=1 Memverifikasi tanda tangan GPG dari metadata repositori () repomd.xml sebelum menggunakan repositori. Dinonaktifkan (diaktifkan secara default dimulai dengan rilis 2023.12 triwulanan)

Kami sangat menyarankan Anda mengaktifkan keduanya gpgcheck danrepo_gpgcheck. Ini memastikan bahwa metadata repositori dan paket individual diverifikasi sebelum digunakan.

Mengaktifkan verifikasi metadata repositori

Anda dapat mengaktifkan verifikasi metadata repositori untuk masing-masing repositori dengan memperbarui file konfigurasi mereka.

penting

Dimulai dengan rilis 2023.12 triwulanan, repo_gpgcheck=1 akan diaktifkan secara default di file konfigurasi AL2023 repositori.

Aktifkan untuk repositori tertentu

File konfigurasi AL2023 repositori di /etc/yum.repos.d/ set secara repo_gpgcheck=0 default. Untuk mengaktifkan verifikasi metadata repositori, ubah nilai ini menjadi 1 dalam konfigurasi repositori. Misalnya, untuk mengaktifkannya untuk repositori inti:

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Memverifikasi bahwa penandatanganan metadata repositori berfungsi

Setelah mengaktifkanrepo_gpgcheck=1, Anda dapat memverifikasi bahwa verifikasi metadata berfungsi dengan membersihkan DNF cache dan menyegarkan metadata:

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Jika verifikasi metadata berhasil, DNF impor kunci GPG (jika belum diimpor) dan membuat cache metadata tanpa kesalahan. Anda akan melihat output yang mirip dengan berikut ini:

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Jika verifikasi tanda tangan gagal, DNF menampilkan pesan kesalahan yang menunjukkan kegagalan verifikasi tanda tangan GPG dan pembuatan cache metadata gagal.

Kunci publik GPG untuk repositori AL2023

Kunci publik GPG yang digunakan untuk verifikasi metadata repositori diinstal oleh konfigurasi repositori yang sesuai untuk. RPMs /etc/pki/rpm-gpg/ Tabel berikut mencantumkan kunci publik yang digunakan oleh setiap repositori.

Repositori Kunci penandatanganan Package Kunci penandatanganan repodata Didistribusikan di
Inti (amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
Kernel Livepatch () kernel-livepatch RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA (amazonlinux-nvidia) RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPAL () amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

Tombol-tombol ini secara otomatis diinstal ketika Anda menginstal konfigurasi repositori yang sesuai RPM.