(選擇性) 確認 Linux 作業系統上 Amazon Inspector 典型代理程式安裝指令碼的簽章 - Amazon Inspector Classic
安裝 GPG 工具驗證和匯入公開金鑰驗證套件的簽章

這是 Amazon Inspector Classic 的使用者指南。如需新 Amazon Inspector 的相關資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector Classic 主控台,請在 開啟 Amazon Inspector 主控台https://console.aws.amazon.com/inspector/,然後在導覽窗格中選擇 Amazon Inspector Classic

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

(選擇性) 確認 Linux 作業系統上 Amazon Inspector 典型代理程式安裝指令碼的簽章

本主題說明驗證用於以 Linux 為基礎之作業系統的 Amazon Inspector vacy 典代理程序指令碼有效性的建議程序。

當您從網際網路下載應用程式時,建議您驗證軟體發佈者的身分,並檢查應用程式在發佈之後未遭更改或損毀。如此可保護您,避免安裝到包含病毒或其他惡意程式碼的應用程式版本。

如果在執行此主題中的步驟後,您判斷適用於 Amazon Inspector tty Invacy 代理程序的軟體已遭更改或損毀,請勿執行安裝檔案。請改為聯絡 AWS Support。

適用於以 Linux 為基礎之作業系統的 Amazon Inspector vacy (OpenPGP) 標準的開放原始碼實作。這是一種用GnuPG於安全數位簽章的 Pretty Good Privacy (OpenPGP) 標準的開放原始碼實作。 GnuPG(也稱為GPG) 透過數位簽章提供驗證和完整性檢查。Amazon EC2 發佈了您可用來驗證已下載 Amazon EC2 CLI 工具的公有金鑰和簽章。如需 PGPGnuPG (GPG) 的詳細資訊,請參閱 http://www.gnupg.org

第一步是與軟體發佈者建立信任。下載軟體發佈者的公開金鑰,檢查公開金鑰的擁有者是否為聲稱的擁有者,然後將公開金鑰新增至您的 keyring。您的 keyring 是一組已知的公開金鑰。在您建立公開金鑰的真實性之後,即可用它來驗證應用程式的簽章。

安裝 GPG 工具

如果您的作業系統是 Linux 或 Unix,那麼有可能已安裝 GPG 工具。若要測試工具是否已安裝在您的系統,請在命令提示字元中輸入 gpg。如果 GPG 工具已安裝,您會看到 GPG 命令提示字元。如果 GPG 工具未安裝,您會看到表示找不到該命令的錯誤。您可以從儲存庫安裝 GnuPG 套件。

在以 Debian 為基礎的 Linux 上安裝 GPG 工具

  • 從終端機執行下列命令:apt-get install gnupg

在以 Red Hat 為基礎的 Linux 上安裝 GPG 工具

  • 從終端機執行下列命令:yum install gnupg

驗證和匯入公開金鑰

此程序的下一個步驟是驗證 Amazon Inspector vacy,並將其做為信任的金鑰新增至您的GPG keyring。

驗證和匯入 Amazon Inspector 經典公開金鑰

  1. 執行以下其中一項以取得我們的公有 GPG 建置金鑰的副本:

    • https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg 下載。

    • 從以下文字複製金鑰,然後貼到名為 inspector.gpg 的檔案中。務必包含以下所有項目:

      -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.18 (GNU/Linux)
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=iEhB
-----END PGP PUBLIC KEY BLOCK-----

  2. 在您儲存檢查器 .gpg 的目錄的命令提示字元中,使用下列命令將 Amazon Inspector 傳統公開金鑰匯入至您的 keyring:

    gpg --import inspector.gpg

    此命令會傳回類似以下的結果:

    gpg: key 58360418: public key "Amazon Inspector <inspector@amazon.com>" imported
                    gpg: Total number processed: 1
                    gpg:               imported: 1  (RSA: 1)

    請記下金鑰值,在後續步驟您將會用到它。在前面的範例中,金鑰值為 58360418

  3. 執行以下命令以驗證指紋,請以三個步驟的值取代 key-value

    gpg --fingerprint key-value

    此命令會傳回類似以下的結果:

    pub   4096R/58360418 2015-09-24
                Key fingerprint = DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418
                uid                  Amazon Inspector <inspector@amazon.com>

    此外,如以上範例所示,指紋字串應該與 DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418 完全相同。比較傳回的金鑰指紋與此頁面發佈的金鑰指紋。它們應該相符。如果它們不相符,請勿安裝 Amazon Inspector vacy 代理程序指令碼,然後聯絡 AWS Support。

驗證套件的簽章

在您安裝GPG工具、驗證和匯入 Amazon Inspector acy,以及驗證公有金鑰可信任之後,您就可以驗證安裝指令碼的簽章。

驗證 安裝指令碼簽章

  1. 在命令提示字元上,執行以下命令以下載安裝指令碼的簽章檔案:

    curl -O https://inspector-agent.amazonaws.com/linux/latest/install.sig

  2. 在您儲存install.sig與 Amazon Inspector vacy 經典安裝檔案的目錄中,在命令提示字元上執行以下命令以驗證簽章。兩個檔案都必須存在。

    gpg --verify ./install.sig

    輸出應類似以下所示:

    gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418
gpg: Good signature from "Amazon Inspector <inspector@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418

    如果輸出包含片語Good signature from "Amazon Inspector <inspector@amazon.com>",表示簽章已成功驗證,您可以繼續執行 Amazon Inspector vacy Invacy 安裝指令碼。

    如果輸出包含 BAD signature 片語,請檢查您是否已正確執行程序。如果您持續收到此回應,請不要執行您先前下載的安裝檔,然後聯絡 AWS Support。

以下是您可能會看到的警告的詳細資訊:

  • 警告:此密鑰未通過受信任的簽名進行認證!沒有跡象表明簽名屬於擁有者。這是指您個人對於您所擁有適用於 Amazon Inspector 經典的真實公有金鑰的信任。在理想世界中,您請會前往 AWS 辦公室並獲得該金鑰。不過,通常您會從網站下載。在此情況下,該網站是 AWS 網站。

  • gpg:沒有發現最終信任的金鑰。這表示該特定金鑰未獲得您 (或您信任的其他人) 的「最終信任」。

如需詳細資訊,請參閱 http://www.gnupg.org