View a markdown version of this page

Login de metadados do repositório AL2023 - Amazon Linux 2023
Como funciona a assinatura de metadados do repositórioDiferença entre gpgcheck e repo_gpgcheckHabilitando a verificação de metadados do repositórioVerificando se a assinatura de metadados do repositório está funcionandoChaves públicas GPG para repositórios AL2023

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Login de metadados do repositório AL2023

A partir do lançamento2023.11.20260406, os AL2023 repositórios incluem assinaturas criptográficas para os metadados do repositório. Cada repomd.xml arquivo do repositório é acompanhado por um arquivo de assinatura GPG separado (repomd.xml.asc) que você pode usar para verificar a autenticidade e a integridade dos metadados do repositório antes que os pacotes sejam baixados.

Essa assinatura é adicional à assinatura do pacote RPM existente (gpgcheck), que verifica pacotes individuais. A assinatura de metadados do repositório verifica os metadados que descrevem o conteúdo do repositório, como a lista de pacotes disponíveis e suas somas de verificação.

Como funciona a assinatura de metadados do repositório

Quando AL2023 os repositórios são publicados, os metadados do repositório (repomd.xml) são assinados usando uma AWS chave KMS. A assinatura separada resultante (repomd.xml.asc) é colocada ao lado dos metadados no repositório.

Quando você habilita repo_gpgcheck na configuração do seu repositório, baixa e verifica DNF automaticamente a repomd.xml.asc assinatura em relação à chave pública GPG antes de usar os metadados do repositório. Se a verificação da assinatura falhar, DNF rejeita os metadados do repositório e não prossegue com as operações de pacote desse repositório. Para obter mais informações sobrerepo_gpgcheck, consulte a Referência DNF de configuração.

Os seguintes AL2023 repositórios incluem metadados assinados:

  • Repositório principal () amazonlinux

  • Repositório Kernel Livepatch () kernel-livepatch

  • Repositório NVIDIA () amazonlinux-nvidia

  • Pacotes suplementares para o repositório Amazon Linux () amazonlinux-spal

Diferença entre gpgcheck e repo_gpgcheck

Configuração O que ele verifica Padrão em AL2023
gpgcheck=1 Verifica a assinatura GPG de pacotes RPM individuais antes da instalação. Habilitado
repo_gpgcheck=1 Verifica a assinatura GPG dos metadados do repositório (repomd.xml) antes de usar o repositório. Desativado (ativado por padrão a partir da versão 2023.12 trimestral)

É altamente recomendável que você habilite os dois gpgcheck repo_gpgcheck e. Isso garante que os metadados do repositório e os pacotes individuais sejam verificados antes do uso.

Habilitando a verificação de metadados do repositório

Você pode habilitar a verificação de metadados do repositório para repositórios individuais atualizando seus arquivos de configuração.

Importante

A partir da versão 2023.12 trimestral, repo_gpgcheck=1 será habilitado por padrão nos arquivos de configuração do AL2023 repositório.

Habilitar para um repositório específico

Os arquivos de configuração do AL2023 repositório são /etc/yum.repos.d/ definidos repo_gpgcheck=0 por padrão. Para habilitar a verificação de metadados do repositório, altere esse valor para 1 na configuração do repositório. Por exemplo, para habilitá-lo para o repositório principal:

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Verificando se a assinatura de metadados do repositório está funcionando

Depois de habilitarrepo_gpgcheck=1, você pode verificar se a verificação de metadados está funcionando limpando o DNF cache e atualizando os metadados:

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Se a verificação de metadados for bem-sucedida, DNF importe a chave GPG (se ainda não tiver sido importada) e criará o cache de metadados sem erros. Você verá uma saída semelhante à seguinte:

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Se a verificação da assinatura falhar, DNF será exibida uma mensagem de erro indicando uma falha na verificação da assinatura GPG e falha na criação do cache de metadados.

Chaves públicas GPG para repositórios AL2023

As chaves públicas GPG usadas para verificação de metadados do repositório são instaladas pela configuração do repositório correspondente em. RPMs /etc/pki/rpm-gpg/ A tabela a seguir lista as chaves públicas usadas por cada repositório.

Repositório Chave de assinatura do pacote Chave de assinatura Repodata Distribuído em
Núcleo (amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
Livepatch do Kernel () kernel-livepatch RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA () amazonlinux-nvidia RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPAL () amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

Essas chaves são instaladas automaticamente quando você instala o RPM de configuração do repositório correspondente.