Los paquetes de instaladores RPM y Debian del complemento de Session Manager para instancias de Linux están firmados criptográficamente. Puede usar la clave pública para verificar que el binario y el paquete del complemento sean originales y que no se hayan modificado. Si hay algún tipo de daño o alteración en el archivo, se produce un error en la verificación. Puede verificar la firma del paquete del instalador mediante la herramienta GNU Privacy Guard (GPG). La siguiente información es para las versiones del complemento de Session Manager 1.2.707.0 o posteriores.
Complete los siguientes pasos para verificar la firma del paquete del instalador del complemento de Session Manager.
Temas
Paso 1: descargue el paquete del instalador del complemento de Session Manager
Descargue el paquete del instalador del complemento de Session Manager que quiere verificar.
Amazon Linux 2, AL2023 y los paquetes RPM de RHEL
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
Paquetes de Deb para Debian y Ubuntu
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
Paso 2: descargue el archivo de firma asociado
Después de descargar el paquete del instalador, descargue el archivo de firma asociado para la verificación del paquete. Para proporcionar un nivel adicional de protección contra la copia o el uso no autorizados del archivo binario del complemento de Session Manager incluido en el paquete, también ofrecemos firmas binarias, que puede usar para validar archivos binarios individuales. Puede optar por usar estas firmas binarias en función de sus necesidades de seguridad.
Amazon Linux 2, AL2023 y paquetes de firma de RHEL
Paquete:
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"
Binario:
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
Paquetes de firmas Deb para Debian y Ubuntu
Paquete:
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"
Binario:
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
Paso 3: instale la herramienta GPG
Para verificar la firma del complemento de Session Manager, debe tener la herramienta GNU Privacy Guard (GPG) instalada en el sistema. El proceso de verificación requiere el uso de la versión 2.1 o posterior de GPG. Para comprobar su versión de GPG, ejecute el siguiente comando:
gpg --version
Si su versión de GPG es anterior a la 2.1, actualícela antes de continuar con el proceso de verificación. En la mayoría de los sistemas, puede actualizar la herramienta GPG con su administrador de paquetes. Por ejemplo, en sistemas de Amazon Linux y RHEL, puede usar el siguiente comando:
sudo yum update sudo yum install gnupg2
En los sistemas Ubuntu o Debian, puede usar los siguientes comandos:
sudo apt-get update sudo apt-get install gnupg2
Asegúrese de tener la versión de GPG requerida antes de continuar con el proceso de verificación.
Paso 4: verifique el paquete del instalador del complemento de Session Manager en un servidor Linux
Use el siguiente procedimiento para verificar el paquete del instalador del complemento de Session Manager en un servidor Linux.
nota
Amazon Linux 2 no es compatible con la versión 2.1 o superior de la herramienta GPG. Si el siguiente procedimiento no funciona en las instancias de Amazon Linux 2, verifique la firma en una plataforma diferente antes de instalarla en las instancias de Amazon Linux 2.
-
Copie la siguiente clave pública y guárdela en un archivo denominado “session-manager-plugin.gpg”.
-----BEGIN PGP PUBLIC KEY BLOCK----- mFIEZ5ERQxMIKoZIzj0DAQcCAwQjuZy+IjFoYg57sLTGhF3aZLBaGpzB+gY6j7Ix P7NqbpXyjVj8a+dy79gSd64OEaMxUb7vw/jug+CfRXwVGRMNtIBBV1MgU1NNIFNl c3Npb24gTWFuYWdlciA8c2Vzc2lvbi1tYW5hZ2VyLXBsdWdpbi1zaWduZXJAYW1h em9uLmNvbT4gKEFXUyBTeXN0ZW1zIE1hbmFnZXIgU2Vzc2lvbiBNYW5hZ2VyIFBs dWdpbiBMaW51eCBTaWduZXIgS2V5KYkBAAQQEwgAqAUCZ5ERQ4EcQVdTIFNTTSBT ZXNzaW9uIE1hbmFnZXIgPHNlc3Npb24tbWFuYWdlci1wbHVnaW4tc2lnbmVyQGFt YXpvbi5jb20+IChBV1MgU3lzdGVtcyBNYW5hZ2VyIFNlc3Npb24gTWFuYWdlciBQ bHVnaW4gTGludXggU2lnbmVyIEtleSkWIQR5WWNxJM4JOtUB1HosTUr/b2dX7gIe AwIbAwIVCAAKCRAsTUr/b2dX7rO1AQCa1kig3lQ78W/QHGU76uHx3XAyv0tfpE9U oQBCIwFLSgEA3PDHt3lZ+s6m9JLGJsy+Cp5ZFzpiF6RgluR/2gA861M= =2DQm -----END PGP PUBLIC KEY BLOCK----- -
Importe la clave pública en su llavero. El valor de clave devuelto debe ser
2C4D4AFF6F6757EE.$ gpg --import session-manager-plugin.gpg gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported gpg: Total number processed: 1 gpg: imported: 1 -
Ejecute el siguiente comando para verificar la huella digital.
gpg --fingerprint 2C4D4AFF6F6757EELa huella digital del resultado del comando debe coincidir con lo siguiente.
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EEpub nistp256 2025-01-22 [SC] 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE uid [ unknown] AWS Systems Manager Session Manager plugin <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)Si la huella digital no coincide, no instale el complemento. Ponte en contacto con AWS Support.
-
Verifique la firma del paquete del instalador. Reemplace
signature-filenameydownloaded-plugin-filenamepor los valores que especificó cuando descargó el archivo de firma y session-manager-plugin, como se muestra en la tabla que figura más arriba en este tema.gpg --verifysignature-filenamedownloaded-plugin-filenamePor ejemplo, para la arquitectura x86_64 en Amazon Linux 2, el comando es el siguiente:
gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpmEste comando devuelve un resultado similar al siguiente.
gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE gpg: Good signature from "AWS Systems Manager Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
Si el resultado incluye la expresión BAD signature, compruebe si ha realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, comuníquese con AWS Support y no instale el paquete. El mensaje de advertencia sobre la confianza no significa que la firma no sea válida, sino que no se ha verificado la clave pública. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Si el resultado incluye la frase Can't check signature: No public key, verifique que haya descargado la versión 1.2.707.0 o posterior del complemento de Session Manager.
