Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ai metadati del repository AL2023

A partire dalla release2023.11.20260406, i AL2023 repository includono firme crittografiche per i metadati dei repository. Ogni file del repository è accompagnato da un repomd.xml file di firma GPG separato (repomd.xml.asc) che è possibile utilizzare per verificare l'autenticità e l'integrità dei metadati del repository prima che i pacchetti vengano scaricati.

Questa firma si aggiunge alla firma del pacchetto RPM esistente ()gpgcheck, che verifica i singoli pacchetti. La firma dei metadati del repository verifica i metadati che descrivono il contenuto del repository, come l'elenco dei pacchetti disponibili e i relativi checksum.

Come funziona la firma dei metadati nel repository

Quando i AL2023 repository vengono pubblicati, i metadati del repository (repomd.xml) vengono firmati utilizzando una chiave KMS. AWS La firma distaccata risultante (repomd.xml.asc) viene posizionata accanto ai metadati nel repository.

Quando la abiliti repo_gpgcheck nella configurazione del repository, scarica e verifica DNF automaticamente la repomd.xml.asc firma rispetto alla chiave pubblica GPG prima di utilizzare i metadati del repository. Se la verifica della firma fallisce, DNF rifiuta i metadati del repository e non procede con le operazioni sui pacchetti da quel repository. Per ulteriori informazioni in meritorepo_gpgcheck, consulta il Configuration Reference. DNF

I seguenti AL2023 repository includono metadati firmati:

Differenza tra e gpgcheck repo_gpgcheck

Ti consigliamo vivamente di abilitare entrambi gpgcheck e. repo_gpgcheck Ciò garantisce che sia i metadati del repository che i singoli pacchetti vengano verificati prima dell'uso.

Abilitazione della verifica dei metadati del repository

È possibile abilitare la verifica dei metadati del repository per i singoli repository aggiornando i relativi file di configurazione.

Abilita per un repository specifico

I file di configurazione AL2023 del repository sono /etc/yum.repos.d/ impostati di repo_gpgcheck=0 default. Per abilitare la verifica dei metadati del repository, modifica questo valore 1 in nella configurazione del repository. Ad esempio, per abilitarlo per il repository principale:

[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023

Verifica del funzionamento della firma dei metadati del repository

Dopo l'attivazionerepo_gpgcheck=1, puoi verificare che la verifica dei metadati funzioni svuotando la DNF cache e aggiornando i metadati:

[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache

Se la verifica dei metadati ha esito positivo, DNF importa la chiave GPG (se non è già stata importata) e crea la cache dei metadati senza errori. Verrà visualizzato un output simile al seguente:

Amazon Linux 2023 repository                    1.7 MB/s | 1.8 kB     00:00
Importing GPG key 0xD832C631:
 Userid     : "Amazon Linux <amazon-linux@amazon.com>"
 Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository                      18 MB/s |  55 MB     00:03
Metadata cache created.

Se la verifica della firma fallisce, DNF visualizza un messaggio di errore che indica un errore di verifica della firma GPG e la creazione della cache dei metadati non riesce.

Chiavi pubbliche GPG per i repository AL2023

Le chiavi pubbliche GPG utilizzate per la verifica dei metadati del repository vengono installate dalla configurazione del repository corrispondente su. RPMs /etc/pki/rpm-gpg/ La tabella seguente elenca le chiavi pubbliche utilizzate da ciascun repository.

Queste chiavi vengono installate automaticamente quando si installa l'RPM di configurazione del repository corrispondente.