View a markdown version of this page

Anmeldung mit Repository-Metadaten AL2023 - Amazon Linux 2023
So funktioniert die Signatur von Repository-MetadatenUnterschied zwischen gpgcheck und repo_gpgcheckÜberprüfung der Repository-Metadaten aktivierenÜberprüfen, ob das Signieren von Repository-Metadaten funktioniertÖffentliche GPG-Schlüssel für Repositorien AL2023

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anmeldung mit Repository-Metadaten AL2023

Ab der Veröffentlichung 2023.11.20260406 enthalten AL2023 Repositorys kryptografische Signaturen für Repository-Metadaten. Jeder repomd.xml Repository-Datei liegt eine separate GPG-Signaturdatei (repomd.xml.asc) bei, mit der Sie die Authentizität und Integrität der Repository-Metadaten überprüfen können, bevor Pakete heruntergeladen werden.

Diese Signierung erfolgt zusätzlich zur bestehenden RPM-Paketsignierung (gpgcheck), die einzelne Pakete verifiziert. Beim Signieren von Repository-Metadaten werden die Metadaten überprüft, die den Inhalt des Repositorys beschreiben, z. B. die Liste der verfügbaren Pakete und deren Prüfsummen.

So funktioniert die Signatur von Repository-Metadaten

Wenn AL2023 Repositorys veröffentlicht werden, werden die Repository-Metadaten (repomd.xml) mit einem AWS KMS-Schlüssel signiert. Die daraus resultierende separate Signatur (repomd.xml.asc) wird neben den Metadaten im Repository platziert.

Wenn Sie die Option repo_gpgcheck in Ihrer Repository-Konfiguration aktivieren, DNF wird die repomd.xml.asc Signatur automatisch heruntergeladen und anhand des öffentlichen GPG-Schlüssels überprüft, bevor die Repository-Metadaten verwendet werden. Wenn die Signaturüberprüfung fehlschlägt, werden die DNF Repository-Metadaten zurückgewiesen und es werden keine Paketoperationen von diesem Repository aus durchgeführt. Weitere Informationen zu repo_gpgcheck finden Sie in der DNFKonfigurationsreferenz.

Die folgenden AL2023 Repositorys enthalten signierte Metadaten:

  • Kern-Repository () amazonlinux

  • Kernel-Livepatch-Repository () kernel-livepatch

  • NVIDIA-Repository () amazonlinux-nvidia

  • Zusätzliche Pakete für das Amazon Linux-Repository (amazonlinux-spal)

Unterschied zwischen gpgcheck und repo_gpgcheck

Einstellung Was es verifiziert Standard in AL2023
gpgcheck=1 Überprüft vor der Installation die GPG-Signatur einzelner RPM-Pakete. Aktiviert
repo_gpgcheck=1 Überprüft die GPG-Signatur der Repository-Metadaten (repomd.xml), bevor das Repository verwendet wird. Deaktiviert (ab der 2023.12 vierteljährlichen Veröffentlichung standardmäßig aktiviert)

Wir empfehlen dringend, sowohl als auch gpgcheck zu aktivierenrepo_gpgcheck. Dadurch wird sichergestellt, dass sowohl die Repository-Metadaten als auch die einzelnen Pakete vor der Verwendung überprüft werden.

Überprüfung der Repository-Metadaten aktivieren

Sie können die Überprüfung von Repository-Metadaten für einzelne Repositorys aktivieren, indem Sie deren Konfigurationsdateien aktualisieren.

Wichtig

Ab der 2023.12 vierteljährlichen Version repo_gpgcheck=1 wird diese Option standardmäßig in den AL2023 Repository-Konfigurationsdateien aktiviert.

Für ein bestimmtes Repository aktivieren

Die AL2023 Repository-Konfigurationsdateien sind repo_gpgcheck=0 standardmäßig /etc/yum.repos.d/ festgelegt. Um die Überprüfung der Repository-Metadaten zu aktivieren, ändern Sie diesen Wert 1 in der Repository-Konfiguration auf. Um ihn beispielsweise für das Core-Repository zu aktivieren, gehen Sie wie folgt vor:

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Überprüfen, ob das Signieren von Repository-Metadaten funktioniert

Nach der Aktivierung können Sie überprüfenrepo_gpgcheck=1, ob die Überprüfung der Metadaten funktioniert, indem Sie den DNF Cache leeren und die Metadaten aktualisieren:

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Wenn die Metadatenüberprüfung erfolgreich ist, wird der GPG-Schlüssel DNF importiert (sofern er nicht bereits importiert wurde) und der Metadaten-Cache ohne Fehler erstellt. Die Ausgabe entspricht weitgehend der Folgenden:

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Wenn die Signaturüberprüfung fehlschlägt, DNF wird eine Fehlermeldung angezeigt, die darauf hinweist, dass die GPG-Signaturüberprüfung fehlgeschlagen ist und die Erstellung des Metadatencaches fehlschlägt.

Öffentliche GPG-Schlüssel für Repositorien AL2023

Die öffentlichen GPG-Schlüssel, die für die Überprüfung der Repository-Metadaten verwendet werden, werden von der entsprechenden Repository-Konfiguration auf installiert. RPMs /etc/pki/rpm-gpg/ In der folgenden Tabelle sind die öffentlichen Schlüssel aufgeführt, die von den einzelnen Repositorien verwendet werden.

Repository Schlüssel zum Signieren von Paketen Repodata-Signaturschlüssel Verteilt in
Kern (amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
Kernel-Live-Patch () kernel-livepatch RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA () amazonlinux-nvidia RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPAL () amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

Diese Schlüssel werden automatisch installiert, wenn Sie das entsprechende RPM für die Repository-Konfiguration installieren.