View a markdown version of this page

AL2023에서 리포지토리 메타데이터 서명 - Amazon Linux 2023
리포지토리 메타데이터 서명 작동 방식gpgcheck와의 차이점 repo_gpgcheck리포지토리 메타데이터 확인 활성화리포지토리 메타데이터 서명이 작동하는지 확인AL2023 리포지토리용 GPG 퍼블릭 키

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AL2023에서 리포지토리 메타데이터 서명

릴리스부터 AL2023 2023.11.20260406리포지토리에는 리포지토리 메타데이터에 대한 암호화 서명이 포함됩니다. 각 리포지토리의 repomd.xml 파일에는 패키지를 다운로드하기 전에 리포지토리 메타데이터의 신뢰성과 무결성을 확인하는 데 사용할 수 있는 분리된 GPG 서명 파일(repomd.xml.asc)이 함께 제공됩니다.

이 서명은 개별 패키지를 확인하는 기존 RPM 패키지 서명(gpgcheck)에 추가됩니다. 리포지토리 메타데이터 서명은 사용 가능한 패키지 목록 및 체크섬과 같은 리포지토리의 콘텐츠를 설명하는 메타데이터를 확인합니다.

리포지토리 메타데이터 서명 작동 방식

AL2023 리포지토리가 게시되면 AWS KMS 키를 사용하여 리포지토리 메타데이터(repomd.xml)에 서명됩니다. 결과 분리된 서명(repomd.xml.asc)은 리포지토리의 메타데이터와 함께 배치됩니다.

리포지토리 구성repo_gpgcheck에서를 활성화하면는 리포지토리 메타데이터를 사용하기 전에 GPG 퍼블릭 키에 대해 repomd.xml.asc 서명을 DNF 자동으로 다운로드하고 확인합니다. 서명 확인에 실패하면는 리포지토리 메타데이터를 DNF 거부하고 해당 리포지토리의 패키지 작업을 진행하지 않습니다. 에 대한 자세한 내용은 DNF 구성 repo_gpgcheck참조를 참조하세요.

다음 AL2023 리포지토리에는 서명된 메타데이터가 포함됩니다.

  • 코어 리포지토리(amazonlinux)

  • 커널 Livepatch 리포지토리(kernel-livepatch)

  • NVIDIA 리포지토리(amazonlinux-nvidia)

  • Amazon Linux 리포지토리용 보조 패키지(amazonlinux-spal)

gpgcheck와의 차이점 repo_gpgcheck

설정 확인 항목 AL2023의 기본값
gpgcheck=1 설치 전에 개별 RPM 패키지의 GPG 서명을 확인합니다. 활성화됨
repo_gpgcheck=1 리포지토리를 사용하기 전에 리포지토리 메타데이터(repomd.xml)의 GPG 서명을 확인합니다. 비활성화됨(2023.12분기별 릴리스부터 기본적으로 활성화됨)

gpgcheck 및를 모두 활성화하는 것이 좋습니다repo_gpgcheck. 이렇게 하면 리포지토리 메타데이터와 개별 패키지가 모두 사용 전에 확인됩니다.

리포지토리 메타데이터 확인 활성화

구성 파일을 업데이트하여 개별 리포지토리에 대한 리포지토리 메타데이터 확인을 활성화할 수 있습니다.

중요

2023.12 분기별 릴리스부터 repo_gpgcheck=1는 AL2023 리포지토리 구성 파일에서 기본적으로 활성화됩니다.

특정 리포지토리에 대해 활성화

의 AL2023 리포지토리 구성 파일은 repo_gpgcheck=0 기본적으로 /etc/yum.repos.d/ 설정됩니다. 리포지토리 메타데이터 확인을 활성화하려면 리포지토리 구성1에서이 값을 로 변경합니다. 예를 들어 코어 리포지토리에 대해 활성화하려면

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

리포지토리 메타데이터 서명이 작동하는지 확인

를 활성화repo_gpgcheck=1한 후 DNF 캐시를 지우고 메타데이터를 새로 고쳐 메타데이터 확인이 작동하는지 확인할 수 있습니다.

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

메타데이터 확인에 성공하면는 GPG 키(아직 가져오지 않은 경우)를 DNF 가져오고 오류 없이 메타데이터 캐시를 생성합니다. 출력은 다음과 비슷합니다.

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

서명 확인에 실패하면는 GPG 서명 확인 실패 및 메타데이터 캐시 생성 실패를 나타내는 오류 메시지를 DNF 표시합니다.

AL2023 리포지토리용 GPG 퍼블릭 키

리포지토리 메타데이터 확인에 사용되는 GPG 퍼블릭 키는 해당 리포지토리 구성 RPMs에서에 설치합니다/etc/pki/rpm-gpg/. 다음 표에는 각 리포지토리에서 사용하는 퍼블릭 키가 나열되어 있습니다.

리포지토리 패키지 서명 키 Repodata 서명 키 에 배포됨
코어(amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
커널 Livepatch(kernel-livepatch) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA(amazonlinux-nvidia) RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPAL(amazonlinux-spal) RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

이러한 키는 해당 리포지토리 구성 RPM을 설치할 때 자동으로 설치됩니다.