Amazon EC2 Linux インスタンスに EC2Rescue をインストールする - Amazon Elastic Compute Cloud
EC2Rescue をインストールする(オプション) Linux 用 EC2Rescue の署名を検証する

Amazon EC2 Linux インスタンスに EC2Rescue をインストールする

Linux 用 EC2Rescue ツールは、次の前提要件を満たす Amazon EC2 Linux インスタンスにインストールできます。

前提条件

  • サポートされるオペレーティングシステム

    • Amazon Linux 2

    • Amazon Linux 2016.09+

    • SUSE Linux Enterprise Server 12+

    • RHEL 7+

    • Ubuntu 16.04+

  • ソフトウェア要件

    • Python 2.7.9+ または 3.2+

EC2Rescue をインストールする

AWSSupport-TroubleshootSSH ランブックは Linux 用 EC2Rescue をインストールし、そのツールを使用して、Linux マシンへの SSH 経由でのリモートからの接続を妨げる、一般的な問題を確認しその修正を試みます。より詳しい情報を確認し、この自動化を実行するには、AWS Support-TroubleshootSSH をご参照ください。

システムに必要な Python バージョンがある場合は、標準ビルドをインストールできます。それ以外の場合は、Python の最小のコピーを含むバンドル済みのビルドをインストールできます。

標準ビルドをインストールするには

  1. 作動している Linux インスタンスから、Linux 用 EC2Rescue ツールをダウンロードします。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.tgz

  2. (オプション) Linux 用 EC2Rescue のインストールファイルの署名を検証します。詳細については、「(オプション) Linux 用 EC2Rescue の署名を検証する」を参照してください。

  3. sha256 ハッシュファイルをダウンロードします。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.tgz.sha256

  4. tarball の整合性を確認します。

    sha256sum -c ec2rl.tgz.sha256

  5. Tarball を解凍します。

    tar -xzvf ec2rl.tgz

  6. ヘルプファイルを表示してインストールを検証します。

    cd ec2rl-<version_number>
./ec2rl help
バンドル済みのビルドをインストールするには

ダウンロードのリンクと制限については、github の「Linux 用 EC2Rescue」を参照してください。

(オプション) Linux 用 EC2Rescue の署名を検証する

以下に、Linux ベースのオペレーティングシステム用の Linux 用 EC2Rescue パッケージの有効性を検証するための推奨されるプロセスを示します。

インターネットからアプリケーションをダウンロードする場合は、ソフトウェア発行元のアイデンティティを認証し、アプリケーションの発行後に改ざん、あるいは破損がないか確認することをお勧めします。これにより、ウイルスやマルウェアに感染したバージョンのアプリケーションをインストールせずに済みます。

このトピックのステップを実行した後に Linux 用 EC2Rescue のソフトウェアが変更または破損していることが判明した場合は、インストールファイルを実行しないでください。このような場合は Amazon Web Services にご連絡ください。

Linux ベースのオペレーティングシステム用の Linux 用 EC2Rescue ファイルの署名には、GnuPG が使用されています。これは安全なデジタル署名のための、オープンソース実装のプリティグッドプライバシー (OpenPGP) 標準です。GnuPG (GPG とも呼ばれます) では、デジタル署名を通じて認証と整合性のチェックが行われます。ダウンロードした Linux 用 EC2Rescue パッケージの検証に使用できるパブリックキーと署名は、AWS により公開されています。PGP と GnuPG (GPG) の詳細については、「http://www.gnupg.org」を参照してください。

まず、ソフトウェア発行元との信頼を確立します。ソフトウェア発行元のパブリックキーをダウンロードし、キー所有者が一致していることを確認してから、キーリングに追加します。キーリングとは、既知のパブリックキーの集合です。真正性が確立されたパブリック キーは、アプリケーションの署名を確認するために使用できます。

パブリック キーを認証およびインポートする

次の手順では、Linux 用 EC2Rescue のパブリックキーを認証し、信頼されたキーとして GPG キーリングへ追加します。

Linux 用 EC2Rescue のパブリックキーを認証してインポートするには

  1. コマンドプロンプトで、次のコマンドを使用して当社のパブリック GPG ビルドキーのコピーを取得します。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.key

  2. ec2rl.key を保存したディレクトリのコマンドプロンプトで、次のコマンドを使用して Linux 用 EC2Rescue のパブリックキーをキーリングにインポートします。

    gpg2 --import ec2rl.key

    コマンドで次のような結果が返されます。

    gpg: /home/ec2-user/.gnupg/trustdb.gpg: trustdb created
gpg: key 2FAE2A1C: public key "ec2autodiag@amazon.com <EC2 Rescue for Linux>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
    ヒント

    コマンドが見つからないというエラーが表示された場合は、apt-get install gnupg2 (Debian ベースの Linux) または yum install gnupg2 (Red Hat ベースの Linux) を使用して GnuPG ユーティリティをインストールします。

パッケージの署名の確認

GPG ツールをインストール後、Linux 用 EC2Rescue パブリックキーを認証してインポートし、Linux 用 EC2Rescue パブリック キーが信頼済みであることを確認すると、Linux 用 EC2Rescue インストールスクリプトの署名を確認できるようになります。

Linux 用 EC2Rescue インストールスクリプトの署名を確認するには

  1. コマンド プロンプトで次のコマンドを実行し、インストール スクリプトの署名ファイルをダウンロードします。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.tgz.sig

  2. ec2rl.tgz.sig と Linux 用 EC2Rescue インストールファイルを保存したディレクトリのコマンドプロンプトで次のコマンドを実行し、署名を確認します。ファイルが2つとも存在している必要があります。

    gpg2 --verify ./ec2rl.tgz.sig

    出力は次のようになります。

    gpg: Signature made Thu 12 Jul 2018 01:57:51 AM UTC using RSA key ID 6991ED45
gpg: Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: E528 BCC9 0DBF 5AFA 0F6C  C36A F780 4843 2FAE 2A1C
     Subkey fingerprint: 966B 0D27 85E9 AEEC 1146  7A9D 8851 1153 6991 ED45

    出力に「Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>"」という句が含まれる場合は、署名が正常に確認されており、Linux 用 EC2Rescue のインストールスクリプトを実行できることを意味しています。

    出力結果に「BAD signature」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、Amazon Web Services に連絡してください。以前にダウンロードしたインストール ファイルを実行しないでください。

以下は、表示される可能性のある警告の詳細です。

  • WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner. これは、Linux 用 EC2Rescue の認証済みパブリック キーを所有していると考えるユーザーの個人レベルの信頼を参照します。本来は、ユーザーが Amazon Web Services オフィスを訪問してキーを受け取ることが理想的です。しかし、キーは多くの場合 ウェブ サイトからダウンロードされます。この場合、ウェブサイトは Amazon Web Services ウェブサイトです。

  • gpg2: no ultimately trusted keys found. これは、特定のキーがユーザー (またはユーザーが信頼する他のユーザー) によって「最終的に信頼された」キーでないことを意味します。

詳細については、「http://www.gnupg.org」を参照してください。