Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

(省略可能) Linux 用 EC2Rescue の署名を検証します。

以下に、Linux ベースのオペレーティングシステム用の Linux 用 EC2Rescue パッケージの有効性を検証するための推奨されるプロセスを示します。

インターネットからアプリケーションをダウンロードする場合は、ソフトウェア発行元のアイデンティティを認証し、アプリケーションの発行後に改ざん、あるいは破損がないか確認することをお勧めします。これにより、ウイルスやマルウェアに感染したバージョンのアプリケーションをインストールせずに済みます。

このトピックのステップを実行した後に Linux 用 EC2Rescue のソフトウェアが変更または破損していることが判明した場合は、インストールファイルを実行しないでください。このような場合は Amazon Web Services にご連絡ください。

Linux ベースのオペレーティングシステム用の Linux 用 EC2Rescue ファイルの署名には、GnuPG が使用されています。これは安全なデジタル署名のための、オープンソース実装のプリティグッドプライバシー (OpenPGP) 標準です。GnuPG (または GPG) では、デジタル署名による認証と完全性の確認が帝京されます。AWS は、ダウンロードされた Linux 用 EC2Rescue パッケージの確認に使用できるパブリックキーと署名を発行します。PGP と GnuPG(GPG)の詳細については、http://www.gnupg.org を参照してください。

まずソフトウェア発行元と信頼を確立します。ソフトウェア発行元のパブリックキーをダウンロードし、キー所有者が一致していることを確認してから、キーリングに追加します。キーリングとは、既知のパブリックキーの集合です。真正性が確立されたパブリック キーは、アプリケーションの署名を確認するために使用できます。

GPG ツールのインストール

お使いのオペレーティングシステムが Linux または Unix の場合、GPG ツールが既にインストールされている場合があります。システムにツールがインストール済みかどうかをテストするには、コマンドラインプロンプトで gpg2 を入力します。GPG ツールがインストールされている場合、GPG のコマンドプロンプトが表示されます。GPG ツールがインストールされていない場合、コマンドが見つからないというエラーが表示されます。GnuPG パッケージはリポジトリからインストールできます。

Debian ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンドを実行します。

    apt-get install gnupg2

Red Hat ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンドを実行します。

    yum install gnupg2

パブリック キーの認証とインポート

次の手順では、Linux 用 EC2Rescue のパブリックキーを認証し、信頼されたキーとして GPG キーリングへ追加します。

Linux 用 EC2Rescue のパブリックキーを認証してインポートするには

  1. コマンドプロンプトで、次のコマンドを使用して当社のパブリック GPG ビルドキーのコピーを取得します。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.key
  2. ec2rl.key を保存したディレクトリのコマンドプロンプトで、次のコマンドを使用して Linux 用 EC2Rescue のパブリックキーをキーリングにインポートします。

    gpg2 --import ec2rl.key

    コマンドで次のような結果が返されます。

    gpg: /home/ec2-user/.gnupg/trustdb.gpg: trustdb created gpg: key 2FAE2A1C: public key "ec2autodiag@amazon.com <EC2 Rescue for Linux>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

パッケージの署名の確認

GPG ツールをインストールし、Linux 用 EC2Rescue パブリックキーを認証してインポートし、Linux 用 EC2Rescue パブリックキーが信頼済みであることを確認すると、Linux 用 EC2Rescue インストールスクリプトの署名を確認できるようになります。

Linux 用 EC2Rescue インストールスクリプトの署名を確認するには

  1. コマンド プロンプトで次のコマンドを実行し、インストール スクリプトの署名ファイルをダウンロードします。

    curl -O https://s3.amazonaws.com/ec2rescuelinux/ec2rl.tgz.sig
  2. ec2rl.tgz.sig と Linux 用 EC2Rescue インストールファイルを保存したディレクトリのコマンドプロンプトで次のコマンドを実行し、署名を確認します。ファイルが2つとも存在している必要があります。

    gpg2 --verify ./ec2rl.tgz.sig

    出力は次のようになります。

    gpg: Signature made Thu 12 Jul 2018 01:57:51 AM UTC using RSA key ID 6991ED45 gpg: Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: E528 BCC9 0DBF 5AFA 0F6C C36A F780 4843 2FAE 2A1C Subkey fingerprint: 966B 0D27 85E9 AEEC 1146 7A9D 8851 1153 6991 ED45

    出力に「Good signature from "ec2autodiag@amazon.com <EC2 Rescue for Linux>"」という句が含まれる場合は、署名が正常に確認されており、Linux 用 EC2Rescue のインストールスクリプトを実行できることを意味しています。

    出力結果に「BAD signature」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、Amazon Web Services に連絡してください。以前にダウンロードしたインストール ファイルを実行しないでください。

以下は、表示される可能性のある警告の詳細です。

  • 警告: このキーは、信頼済みの署名で認定されていません!署名が所有者に属していることが確認できません。 これは、Linux 用 EC2Rescue の認証済みパブリックキーを所有していると考えるユーザーの個人レベルの信頼を参照します。本来は、ユーザーが Amazon Web Services オフィスを訪問してキーを受け取ることが理想的です。しかし、キーは多くの場合 ウェブ サイトからダウンロードされます。この場合、ウェブサイトは Amazon Web Services ウェブサイトです。

  • gpg2: 最終的に信頼されたキーが見つかりません。 これは、特定のキーがユーザー (またはユーザーが信頼する他のユーザー) によって「最終的に信頼された」キーでないことを意味します。

詳細については、http://www.gnupg.org を参照してください。