Amazon Elastic Compute Cloud
Linux 实例用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

(可选)验证 EC2Rescue for Linux 的签名

下面是验证基于 Linux 的操作系统的 EC2Rescue for Linux 软件包是否有效的推荐过程。

当您从 Internet 下载应用程序时,我们建议您验证软件发行商的身份,并检查应用程序在发行后是否已遭更改或损坏。这会保护您免于安装含有病毒或其他恶意代码的应用程序版本。

如果您在执行本主题中的步骤后确定适用于 EC2Rescue for Linux 的软件已遭更改或损坏,请不要运行安装文件。否则,可联系 Amazon Web Services。

适用于基于 Linux 的操作系统的 EC2Rescue for Linux 文件是使用 GnuPG(安全数字签名的 Pretty Good Privacy 的开源式执行 (OpenPGP) 标准)进行签名的。GnuPG (也称为 GPG) 通过数字签名提供身份验证和完整性检查。AWS 发布了您可用于验证下载的 EC2Rescue for Linux 包的公有密钥和签名。有关 PGP 和 GnuPG (GPG) 的更多信息,请访问 http://www.gnupg.org

第一步是与软件发行商建立信任。下载软件发行商的公有密钥,检查公有密钥的所有人是否真为其人,然后将该公有密钥添加到您的密钥环。密钥环是已知公有密钥的集合。验证公有密钥的真实性后,您可以使用它来验证应用程序的签名。

安装 GPG 工具

如果您的操作系统是 Linux 或 Unix,GPG 工具可能已经安装。要测试您的系统上是否已安装这些工具,请在命令提示符处输入 gpg2。如果已安装 GPG 工具,您会看到 GPG 命令提示。如果没有安装 GPG 工具,您会看到错误信息,告诉您无法找到命令。您可以从存储库安装 GnuPG 包。

在基于 Debian 的 Linux 上安装 GPG 工具

  • 从终端设备运行以下命令:

    apt-get install gnupg2

在基于 Red Hat 的 Linux 上安装 GPG 工具

  • 从终端设备运行以下命令:

    yum install gnupg2

验证并导入公有密钥

本流程的下一步是验证 EC2Rescue for Linux 公有密钥,并在 GPG 密钥环中将其添加为可信任密钥。

验证并导入 EC2Rescue for Linux 公有密钥

  1. 在命令提示符处,使用以下命令获取我们的公共 GPG 生成密钥的副本:

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.key
  2. 在保存 ec2rl.key 的目录中的命令提示符处,使用以下命令将 EC2Rescue for Linux 公有密钥导入密钥环:

    gpg2 --import ec2rl.key

    该命令返回的结果类似于下方内容:

    gpg: /home/ec2-user/.gnupg/trustdb.gpg: trustdb created gpg: key 2FAE2A1C: public key "ec2autodiag@amazon.com <EC2 Rescue for Linux>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

验证软件包的签名

在安装 GPG 工具、验证并导入 EC2Rescue for Linux 公有密钥以及确认 EC2Rescue for Linux 公有密钥可信后,便可以验证 EC2Rescue for Linux 安装脚本的签名。

验证 EC2Rescue for Linux 安装脚本签名

  1. 在命令提示符处,运行以下命令以下载安装脚本的签名文件:

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.tgz.sig
  2. 通过在保存 ec2rl.tgz.sig 和 EC2Rescue for Linux 安装文件的目录中的命令提示符处运行以下命令来验证签名。这两个文件都必须存在。

    gpg2 --verify ./ec2rl.tgz.sig

    输出应与以下内容类似:

    gpg: Signature made Thu 12 Jul 2018 01:57:51 AM UTC using RSA key ID 6991ED45 gpg: Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: E528 BCC9 0DBF 5AFA 0F6C C36A F780 4843 2FAE 2A1C Subkey fingerprint: 966B 0D27 85E9 AEEC 1146 7A9D 8851 1153 6991 ED45

    如果输出包含短语 Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>",则意味着已成功验证签名,并且您可以继续运行 EC2Rescue for Linux 安装脚本。

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您持续获得此响应,请联系 Amazon Web Services,而不要运行之前下载的安装文件。

下面是有关您可能看到的警告的详细信息:

  • WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner. 这表示您坚信自己拥有 EC2Rescue for Linux 的可信公有密钥的个人信任级别。理想情况下,您将前往 Amazon Web Services 办公室并亲自接收此密钥。但更常见的情况是,从网站下载此密钥。在这种情况下,该网站是 Amazon Web Services 网站。

  • gpg2: no ultimately trusted keys found. 这意味着您 (或您信任的其他人) 对特定密钥不是“绝对信任”。

有关更多信息,请参阅 http://www.gnupg.org