(Opsional) Verifikasi tanda tangan skrip instalasi agen Amazon Inspector pada sistem operasi berbasis Linux - Amazon Inspector Klasik
Menginstal alat GPGMengautentikasi dan mengimpor kunci publikMemverifikasi tanda tangan paket

Ini adalah panduan pengguna untuk Amazon Inspector Classic. Untuk informasi tentang Amazon Inspector yang baru, lihat Panduan Pengguna Amazon Inspector. Untuk mengakses konsol Amazon Inspector Classic, buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/, lalu pilih Amazon Inspector Classic di panel navigasi.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

(Opsional) Verifikasi tanda tangan skrip instalasi agen Amazon Inspector pada sistem operasi berbasis Linux

Topik ini menjelaskan proses yang direkomendasikan untuk memverifikasi validitas skrip instalasi agen Amazon Inspector untuk sistem operasi berbasis Linux.

Saat Anda mengunduh aplikasi dari internet, kami merekomendasikan Anda untuk mengautentikasi identitas penerbit perangkat lunak dan memeriksa apakah aplikasi tersebut belum diubah atau rusak setelah diterbitkan. Ini akan melindungi Anda agar tidak menginstal versi aplikasi yang berisi virus atau kode berbahaya lainnya.

Jika setelah menjalankan langkah-langkah dalam topik ini, Anda menganggap bahwa perangkat lunak untuk agen Amazon Inspector telah diubah atau rusak, JANGAN menjalankan file instalasi file instalasi. Alih-alih, hubungi AWS Support.

File agen Amazon Inspector untuk sistem operasi berbasis Linux ditandatangani menggunakanGnuPG, yaitu implementasi sumber terbuka dari standar Pretty Good Privacy (OpenPGP) untuk tanda tangan digital yang aman. GnuPG(juga dikenal sebagaiGPG) menyediakan pemeriksaan autentikasi dan integritas melalui tanda tangan digital. Amazon EC2 menerbitkan kunci publik dan tanda tangan yang dapat Anda gunakan untuk memverifikasi alat Amazon EC2 CLI yang diunduh. Untuk informasi lebih lanjut tentang PGP dan GnuPG (GPG), lihat http://www.gnupg.org.

Langkah pertamanya adalah membangun kepercayaan dengan penerbit perangkat lunak. Unduh kunci publik dari penerbit perangkat lunak, periksa apakah pemilik kunci publik adalah benar-benar pemiliknya, lalu tambahkan kunci publik ke dalam keyring Anda. Keyring adalah kumpulan kunci publik yang diketahui. Setelah menetapkan autentikasi kunci publik, Anda dapat menggunakannya untuk memverifikasi tanda tangan aplikasi.

Menginstal alat GPG

Jika sistem operasi Anda adalah Linux atau Unix, alat GPG mungkin sudah terinstal. Untuk menguji apakah alat ini sudah terinstal di sistem Anda, ketikkan gpg pada jendela perintah. Jika alat GPG telah teriinstal, Anda akan melihat perintah command prompt GPG. Jika alat GPG belum terinstal, Anda akan melihat pesan kesalahan yang menyatakan bahwa perintah tidak dapat ditemukan. Anda dapat menginstal paket GnuPG dari repositori.

Untuk menginstal alat GPG pada Linux berbasis Debian

  • Dari terminal, jalankan perintah berikut:apt-get install gnupg.

Untuk menginstal alat GPG pada Linux berbasis Red Hat

  • Dari terminal, jalankan perintah berikut:yum install gnupg.

Mengautentikasi dan mengimpor kunci publik

Langkah berikutnya dalam proses ini adalah mengautentikasi kunci publik Amazon Inspector dan menambahkannya sebagai kunci tepercaya di dalamGPG keyring Anda.

Untuk mengautentikasi dan mengimpor kunci publik Amazon Inspector

  1. Dapatkan salinan kunci build GPG publik kami dengan melakukan salah satu langkah berikut:

    • Unduh dari https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg.

    • Salin kunci dari teks berikut dan tempelkan ke file bernama inspector.gpg. Pastikan untuk memasukkan semua hal berikut ini:

      -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.18 (GNU/Linux)
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=iEhB
-----END PGP PUBLIC KEY BLOCK-----

  2. Pada jendela perintah di direktori tempat Anda menyimpan inspector.gpg, gunakan perintah berikut untuk mengimpor kunci publik Amazon Inspector ke dalam keyring Anda:

    gpg --import inspector.gpg

    Perintah tersebut mengembalikan hasil yang serupa dengan berikut ini:

    gpg: key 58360418: public key "Amazon Inspector <inspector@amazon.com>" imported
                    gpg: Total number processed: 1
                    gpg:               imported: 1  (RSA: 1)

    Catat nilai utama; Anda membutuhkannya pada langkah berikutnya. Dalam contoh sebelumnya, nilai utama adalah 58360418.

  3. Verifikasi sidik jari dengan menjalankan perintah berikut, mengganti key-value dengan nilai dari langkah sebelumnya:

    gpg --fingerprint key-value

    Perintah ini mengembalikan hasil yang serupa dengan berikut ini:

    pub   4096R/58360418 2015-09-24
                Key fingerprint = DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418
                uid                  Amazon Inspector <inspector@amazon.com>

    Selain itu, string sidik jari harus identik dengan DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418, seperti yang ditunjukkan dalam contoh sebelumnya. Bandingkan sidik jari kunci yang dikembalikan dengan yang dipublikasikan di halaman ini. Mereka harus cocok. Jika mereka tidak cocok, jangan instal skrip instalasi agen Amazon Inspector, dan hubungi AWS Support.

Memverifikasi tanda tangan paket

Setelah Anda menginstalGPG alat, mengautentikasi dan mengimpor kunci publik Amazon Inspector, dan memverifikasi bahwa kunci publik tersebut dapat dipercaya, Anda siap untuk memverifikasi tanda tangan skrip instalasi.

Untuk memverifikasi tanda tangan skrip instalasi

  1. Pada perintah command prompt, jalankan perintah berikut untuk mengunduh file tanda tangan untuk skrip instalasi:

    curl -O https://inspector-agent.amazonaws.com/linux/latest/install.sig

  2. Verifikasi tanda tangan dengan menjalankan perintah berikut pada jendela perintah di direktori tempat Anda menyimpaninstall.sig dan file instalasi klasik Amazon Inspector. Kedua file harus ada.

    gpg --verify ./install.sig

    Outputnya akan terlihat seperti berikut ini:

    gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418
gpg: Good signature from "Amazon Inspector <inspector@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418

    Jika output berisi frasaGood signature from "Amazon Inspector <inspector@amazon.com>", itu berarti bahwa tanda tangan telah berhasil diverifikasi, dan Anda dapat melanjutkan untuk menjalankan skrip instalasi Amazon Inspector Classic.

    Jika output mencakup frasa BAD signature, periksa apakah Anda melakukan prosedur dengan benar. Jika Anda terus mendapatkan respons ini, jangan jalankan file instalasi yang Anda unduh sebelumnya, dan hubungi AWS Support.

Berikut ini adalah detail tentang peringatan yang mungkin Anda lihat:

  • PERINGATAN: Kunci ini tidak disertifikasi dengan tanda tangan tepercaya! Tidak ada indikasi bahwa tanda tangan ini adalah milik pemiliknya. Ini mengacu pada tingkat kepercayaan pribadi Anda dalam keyakinan bahwa Anda memiliki kunci publik yang autentik untuk Amazon Inspector. Idealnya, Anda harus mendatangi kantor AWS dan menerima kunci secara langsung. Namun, kemungkinan besar Anda akan mengunduhnya dari situs web. Dalam hal ini, situs web tersebut adalah situs web AWS.

  • gpg: tidak ditemukan kunci yang benar-benar tepercaya. Hal ini berarti Anda (atau orang lain yang Anda percaya) tidak "benar-benar memercayai" kunci tersebut.

Untuk informasi lebih lanjut, lihat http://www.gnupg.org.