(オプション) Linux ベースのオペレーティングシステムの Amazon Inspector エージェントのインストールスクリプトの署名を確認します。 - Amazon Inspector

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

(オプション) Linux ベースのオペレーティングシステムの Amazon Inspector エージェントのインストールスクリプトの署名を確認します。

このトピックでは、Linux ベースのオペレーティングシステム用の Amazon Inspector エージェントのインストールスクリプトの有効性を検証するための、推奨されるプロセスについて説明します。

インターネットからアプリケーションをダウンロードする場合は、常にソフトウェア発行元のアイデンティティを認証し、アプリケーションの発行後に改ざん、あるいは破損がないか確認することをお勧めします。これにより、ウイルスやマルウェアに感染したバージョンのアプリケーションをインストールせずに済みます。

このトピックのステップを実行した後に Amazon Inspector エージェントのソフトウェアが変更または破損していることが判明した場合は、インストール ファイルを実行しないでください。この場合は、AWS サポートまでお問い合わせください。

Linux ベースのオペレーティングシステム用の Amazon Inspector エージェントファイルは、安全なデジタル署名のためのプリティグッドプライバシー (OpenPGP) 標準のオープンソース実装である GnuPG を使用して署名されています。GnuPG (GPG とも呼ばれます) は、デジタル署名による認証と整合性チェックを提供します。Amazon EC2 は、ダウンロードした Amazon EC2 CLI ツールを検証するために使用できるパブリックキーと署名を発行します。PGPGnuPG (GPG) の詳細については、http://www.gnupg.org を参照してください。

まず、ソフトウェア発行元との信頼を確立します。ソフトウェア発行元のパブリックキーをダウンロードし、キー所有者が一致していることを確認してから、キーリングに追加します。キーリングとは、既知のパブリックキーの集合です。真正性が確立されたパブリック キーは、アプリケーションの署名を確認するために使用できます。

GPG ツールのインストール

お使いのオペレーティングシステムが Linux または Unix の場合、GPG ツールが既にインストールされている場合があります。システムにツールがインストール済みかどうかをテストするには、コマンドラインプロンプトで gpg を入力します。GPG ツールがインストールされている場合、GPG のコマンドプロンプトが表示されます。GPG ツールがインストールされていない場合、コマンドが見つからないというエラーが表示されます。GnuPG パッケージはリポジトリからインストールできます。

Debian ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンド apt-get install gnupg を実行します。

Red Hat ベースの Linux に GPG ツールをインストールするには

  • ターミナルから、次のコマンド yum install gnupg を実行します。

パブリック キーの認証とインポート

次のステップでは、Amazon Inspector のパブリックキーを認証し、信頼されたキーとして GPG キーリングへ追加します。

Amazon Inspector のパブリック キーを認証してインポートするには

  1. 次のいずれかを実行してパブリック GPG ビルドキーのコピーを取得します。

    • https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg からダウンロードします。

    • 次のテキストからキーをコピーし、[inspector.key] という名前のファイルに貼り付けます。必ず次のすべてが含まれるようにしてください。

      -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2.0.18 (GNU/Linux) mQINBFYDlfEBEADFpfNt/mdCtsmfDoga+PfHY9bdXAD68yhp2m9NyH3BOzle/MXI 8siNfoRgzDwuWnIaezHwwLWkDw2paRxp1NMQ9qRe8Phq0ewheLrQu95dwDgMcw90 gf9m1iKVHjdVQ9qNHlB2OFknPDxMDRHcrmlJYDKYCX3+MODEHnlK25tIH2KWezXP FPSU+TkwjLRzSMYH1L8IwjFUIIi78jQS9a31R/cOl4zuC5fOVghYlSomLI8irfoD JSa3csVRujSmOAf9o3beiMR/kNDMpgDOxgiQTu/Kh39cl6o8AKe+QKK48kqO7hra h1dpzLbfeZEVU6dWMZtlUksG/zKxuzD6d8vXYH7Z+x09POPFALQCQQMC3WisIKgj zJEFhXMCCQ3NLC3CeyMq3vP7MbVRBYE7t3d2uDREkZBgIf+mbUYfYPhrzy0qT9Tr PgwcnUvDZuazxuuPzucZGOJ5kbptat3DcUpstjdkMGAId3JawBbps77qRZdA+swr o9o3jbowgmf0y5ZS6KwvZnC6XyTAkXy2io7mSrAIRECrANrzYzfp5v7uD7w8Dk0X 1OrfOm1VufMzAyTu0YQGBWaQKzSB8tCkvFw54PrRuUTcV826XU7SIJNzmNQo58uL bKyLVBSCVabfs0lkECIesq8PT9xMYfQJ421uATHyYUnFTU2TYrCQEab7oQARAQAB tCdBbWF6b24gSW5zcGVjdG9yIDxpbnNwZWN0b3JAYW1hem9uLmNvbT6JAjgEEwEC ACIFAlYDlfECGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJECR0CWBYNgQY 8yUP/2GpIl40f3mKBUiSTe0XQLvwiBCHmY+V9fOuKqDTinxssjEMCnz0vsKeCZF/ L35pwNa/oW0OJa8D7sCkKG+8LuyMpcPDyqptLrYPprUWtz2+qLCHgpWsrku7ateF x4hWS0jUVeHPaBzI9V1NTHsCx9+nbpWQ5Fk+7VJI8hbMDY7NQx6fcse8WTlP/0r/ HIkKzzqQQaaOf5t9zc5DKwi+dFmJbRUyaq22xs8C81UODjHunhjHdZ21cnsgk91S fviuaum9aR4/uVIYOTVWnjC5J3+VlczyUt5FaYrrQ5ov0dM+biTUXwve3X8Q85Nu DPnO/+zxb7Jz3QCHXnuTbxZTjvvl60Oi8//uRTnPXjz4wZLwQfibgHmk1++hzND7 wOYA02Js6v5FZQlLQAod7q2wuA1pq4MroLXzziDfy/9ea8B+tzyxlmNVRpVZY4Ll DOHyqGQhpkyV3drjjNZlEofwbfu7m6ODwsgMl5ynzhKklJzwPJFfB3mMc7qLi+qX MJtEX8KJ/iVUQStHHAG7daL1bxpWSI3BRuaHsWbBGQ/mcHBgUUOQJyEp5LAdg9Fs VP55gWtF7pIqifiqlcfgG0Ov+A3NmVbmiGKSZvfrc5KsF/k43rCGqDx1RV6gZvyI LfO9+3sEIlNrsMib0KRLDeBt3EuDsaBZgOkqjDhgJUesqiCy =iEhB -----END PGP PUBLIC KEY BLOCK-----
  2. inspector.key を保存したディレクトリのコマンドプロンプトで、次のコマンドを使用して Amazon Inspector のパブリックキーをキーリングにインポートします。

    gpg --import inspector.key

    コマンドで次のような結果が返されます。

    gpg: key 58360418: public key "Amazon Inspector <inspector@amazon.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

    次のステップで必要になるため、キーの値を書きとめておきます。前述の例では、キーの値は 58360418 です。

  3. 次のコマンドを使用してフィンガープリントを確認し、キー値を前述のステップの値と置き換えます。

    gpg --fingerprint key-value

    このコマンドで次のような結果が返されます。

    pub 4096R/58360418 2015-09-24 Key fingerprint = DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418 uid Amazon Inspector <inspector@amazon.com>

    さらに、前述の例のように、フィンガープリント文字列は「DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418」になります。返されたキー フィンガープリントをこのページで公開されているものと比較します。これらは一致するはずです。一致しない場合は、Amazon Inspector エージェントインストールスクリプトをインストールせず、AWS サポートまでお問い合わせください。

パッケージの署名の確認

GPG ツールをインストール後、Amazon Inspector パブリックキーを認証してインポートし、そのパブリック キーが信頼済みであることを確認すると、インストールスクリプトの署名を確認できるようになります。

インストールスクリプトの署名を確認するには

  1. コマンド プロンプトで次のコマンドを実行し、インストール スクリプトの署名ファイルをダウンロードします。

    curl -O https://inspector-agent.amazonaws.com/linux/latest/install.sig
  2. install.sig と Amazon Inspector インストール ファイルを保存したディレクトリのコマンド プロンプトで次のコマンドを実行し、署名を確認します。ファイルが2つとも存在している必要があります。

    gpg --verify ./install.sig

    出力は次のようになります。

    gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418 gpg: Good signature from "Amazon Inspector <inspector@amazon.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418

    出力に「Good signature from "Amazon Inspector <inspector@amazon.com>"」という句が含まれる場合は、署名が正常に確認されており、Amazon Inspector のインストール スクリプトを実行できることを意味しています。

    出力結果に「BAD signature」という句が含まれる場合、手順が正しいことをもう一度確認してください。この応答が続く場合は、以前にダウンロードしたインストールファイルを実行しないで、AWS サポートにお問い合わせください。

以下は、表示される可能性のある警告の詳細です。

  • 警告: このキーは、信頼済みの署名で認定されていません! 署名が所有者に属していることが確認できません。 これは、Amazon Inspector の認証済みパブリックキーを所有していると考えるユーザーの個人レベルの信頼を参照します。本来は、ユーザーが AWS オフィスを訪問してキーを受け取ることが理想的です。しかし、キーは多くの場合 ウェブ サイトからダウンロードされます。この場合、ウェブサイトは AWS ウェブサイトです。

  • gpg: 最終的に信頼されたキーが見つかりません。 これは、特定のキーがユーザー (またはユーザーが信頼する他のユーザー) によって「最終的に信頼された」キーでないことを意味します。

詳細については、http://www.gnupg.org を参照してください。