View a markdown version of this page

Inicio de sesión de metadatos del repositorio AL2023 - Amazon Linux 2023
Cómo funciona la firma de metadatos del repositorioDiferencia entre gpgcheck y repo_gpgcheckHabilitar la verificación de los metadatos del repositorioComprobar que la firma de metadatos del repositorio funcionaClaves públicas GPG para repositorios AL2023

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inicio de sesión de metadatos del repositorio AL2023

A partir del lanzamiento2023.11.20260406, AL2023 los repositorios incluyen firmas criptográficas para los metadatos del repositorio. Cada repomd.xml archivo del repositorio va acompañado de un archivo de firma GPG independiente (repomd.xml.asc) que puede utilizar para comprobar la autenticidad e integridad de los metadatos del repositorio antes de descargar los paquetes.

Esta firma se suma a la firma del paquete RPM existente (gpgcheck), que verifica los paquetes individuales. La firma de los metadatos del repositorio verifica los metadatos que describen el contenido del repositorio, como la lista de paquetes disponibles y sus sumas de verificación.

Cómo funciona la firma de metadatos del repositorio

Cuando se publican AL2023 los repositorios, los metadatos del repositorio (repomd.xml) se firman con una clave AWS KMS. La firma separada resultante (repomd.xml.asc) se coloca junto a los metadatos en el repositorio.

Cuando lo habilitas repo_gpgcheck en la configuración de tu repositorio, descarga y verifica DNF automáticamente la repomd.xml.asc firma con la clave pública GPG antes de usar los metadatos del repositorio. Si se produce un error en la verificación de la firma, DNF rechaza los metadatos del repositorio y no continúa con las operaciones de empaquetado desde ese repositorio. Para obtener más información al respectorepo_gpgcheck, consulte la Referencia DNF de configuración.

Los siguientes AL2023 repositorios incluyen metadatos firmados:

  • Repositorio principal () amazonlinux

  • Repositorio Kernel Livepatch () kernel-livepatch

  • Repositorio NVIDIA () amazonlinux-nvidia

  • Paquetes complementarios para el repositorio de Amazon Linux (amazonlinux-spal)

Diferencia entre gpgcheck y repo_gpgcheck

Opción Qué verifica Predeterminado en AL2023
gpgcheck=1 Verifica la firma GPG de los paquetes RPM individuales antes de la instalación. Habilitado
repo_gpgcheck=1 Verifica la firma GPG de los metadatos del repositorio (repomd.xml) antes de usarlo. Desactivado (activado de forma predeterminada a partir de la versión 2023.12 trimestral)

Le recomendamos encarecidamente que active las dos gpgcheck opcionesrepo_gpgcheck. Esto garantiza que tanto los metadatos del repositorio como los paquetes individuales se verifiquen antes de usarlos.

Habilitar la verificación de los metadatos del repositorio

Puede habilitar la verificación de los metadatos de los repositorios individuales actualizando sus archivos de configuración.

importante

A partir de la versión 2023.12 trimestral, se repo_gpgcheck=1 activará de forma predeterminada en los archivos de configuración del AL2023 repositorio.

Habilitar para un repositorio específico

Los archivos de configuración del AL2023 repositorio están /etc/yum.repos.d/ repo_gpgcheck=0 configurados de forma predeterminada. Para habilitar la verificación de los metadatos del repositorio, cambie este valor a 1 en la configuración del repositorio. Por ejemplo, para habilitarlo en el repositorio principal:

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Comprobar que la firma de metadatos del repositorio funciona

Tras habilitarlarepo_gpgcheck=1, puedes comprobar que la verificación de los metadatos funciona borrando la DNF caché y actualizando los metadatos:

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Si la verificación de los metadatos se realiza correctamente, DNF importa la clave GPG (si aún no se ha importado) y crea la caché de metadatos sin errores. Verá una salida similar a la siguiente:

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Si la verificación de la firma no se realiza correctamente, DNF muestra un mensaje de error que indica un error en la verificación de la firma GPG y un error al crear la caché de metadatos.

Claves públicas GPG para repositorios AL2023

Las claves públicas GPG utilizadas para la verificación de los metadatos del repositorio se instalan mediante la configuración del repositorio correspondiente en. RPMs /etc/pki/rpm-gpg/ En la siguiente tabla se enumeran las claves públicas utilizadas por cada repositorio.

Repository Clave de firma de paquetes Clave de firma de Repodata Distribuido en
Núcleo (amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
Kernel Livepatch () kernel-livepatch RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA () amazonlinux-nvidia RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPAL () amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

Estas claves se instalan automáticamente al instalar el RPM de configuración del repositorio correspondiente.