View a markdown version of this page

Connexion aux métadonnées du référentiel AL2023 - Amazon Linux 2023
Fonctionnement de la signature des métadonnées du référentielDifférence entre gpgcheck et repo_gpgcheckActivation de la vérification des métadonnées du référentielVérifier que la signature des métadonnées du référentiel fonctionneClés publiques GPG pour les référentiels AL2023

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion aux métadonnées du référentiel AL2023

À compter de leur publication2023.11.20260406, les AL2023 référentiels incluent des signatures cryptographiques pour les métadonnées des référentiels. Le repomd.xml fichier de chaque dépôt est accompagné d'un fichier de signature GPG détaché (repomd.xml.asc) que vous pouvez utiliser pour vérifier l'authenticité et l'intégrité des métadonnées du référentiel avant le téléchargement des packages.

Cette signature s'ajoute à la signature de package RPM existante (gpgcheck), qui vérifie les packages individuels. La signature des métadonnées du référentiel vérifie les métadonnées qui décrivent le contenu du référentiel, telles que la liste des packages disponibles et leurs checksums.

Fonctionnement de la signature des métadonnées du référentiel

Lorsque AL2023 des référentiels sont publiés, les métadonnées du référentiel (repomd.xml) sont signées à l'aide d'une clé AWS KMS. La signature détachée (repomd.xml.asc) qui en résulte est placée à côté des métadonnées dans le référentiel.

Lorsque vous l'activez repo_gpgcheck dans la configuration de votre référentiel, télécharge et vérifie DNF automatiquement la repomd.xml.asc signature par rapport à la clé publique GPG avant d'utiliser les métadonnées du référentiel. Si la vérification de signature échoue, DNF rejette les métadonnées du référentiel et ne procède pas aux opérations de package depuis ce référentiel. Pour plus d'informationsrepo_gpgcheck, consultez la référence DNF de configuration.

Les AL2023 référentiels suivants incluent des métadonnées signées :

  • Référentiel principal (amazonlinux)

  • Référentiel Kernel Livepatch () kernel-livepatch

  • Référentiel NVIDIA (amazonlinux-nvidia)

  • Packages supplémentaires pour le référentiel Amazon Linux (amazonlinux-spal)

Différence entre gpgcheck et repo_gpgcheck

Paramètre Ce qu'il vérifie Par défaut dans AL2023
gpgcheck=1 Vérifie la signature GPG de chaque package RPM avant l'installation. Activé
repo_gpgcheck=1 Vérifie la signature GPG des métadonnées du référentiel (repomd.xml) avant d'utiliser le référentiel. Désactivé (activé par défaut à partir de la version 2023.12 trimestrielle)

Nous vous recommandons vivement d'activer à la fois gpgcheck etrepo_gpgcheck. Cela garantit que les métadonnées du référentiel et les packages individuels sont vérifiés avant utilisation.

Activation de la vérification des métadonnées du référentiel

Vous pouvez activer la vérification des métadonnées des référentiels individuels en mettant à jour leurs fichiers de configuration.

Important

À partir de la version 2023.12 trimestrielle, elle repo_gpgcheck=1 sera activée par défaut dans les fichiers de configuration du AL2023 référentiel.

Activer pour un référentiel spécifique

Les fichiers de configuration du AL2023 référentiel sont /etc/yum.repos.d/ définis repo_gpgcheck=0 par défaut. Pour activer la vérification des métadonnées du référentiel, remplacez cette valeur par celle 1 indiquée dans la configuration du référentiel. Par exemple, pour l'activer pour le référentiel principal :

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Vérifier que la signature des métadonnées du référentiel fonctionne

Après l'activationrepo_gpgcheck=1, vous pouvez vérifier que la vérification des métadonnées fonctionne en vidant le DNF cache et en actualisant les métadonnées :

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Si la vérification des métadonnées réussit, DNF importe la clé GPG (si elle n'est pas déjà importée) et crée le cache de métadonnées sans erreur. Vous verrez des résultats similaires à ce qui suit :

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Si la vérification de signature échoue, DNF affiche un message d'erreur indiquant un échec de vérification de signature GPG et l'échec de la création du cache de métadonnées.

Clés publiques GPG pour les référentiels AL2023

Les clés publiques GPG utilisées pour la vérification des métadonnées du référentiel sont installées par la configuration du référentiel correspondante RPMs sur/etc/pki/rpm-gpg/. Le tableau suivant répertorie les clés publiques utilisées par chaque référentiel.

Référentiel Clé de signature du package Clé de signature Repodata Distribué en
Noyau (amazonlinux) RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
Kernel Livepatch () kernel-livepatch RPM-GPG-KEY-amazon-linux-2023 RPM-GPG-KEY-amazon-linux-2023 system-release
NVIDIA (amazonlinux-nvidia) RPM-GPG-KEY-NVIDIA-D42D0685 RPM-GPG-KEY-amazon-linux-2023-nvidia nvidia-release
SPALE () amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal RPM-GPG-KEY-amazonlinux-spal spal-release

Ces clés sont automatiquement installées lorsque vous installez le RPM de configuration du référentiel correspondant.