(선택 사항) Linux 기반 운영 체제에서 Amazon Inspector Classic 에이전트 설치 스크립트의 서명을 확인합니다.

이 주제에서는 Linux 기반 운영 체제에서 Amazon Inspector Classic 에이전트 설치 스크립트의 유효성을 확인하는 권장 프로세스에 대해 설명합니다.

인터넷에서 애플리케이션을 다운로드할 때마다 소프트웨어 게시자의 자격 증명을 인증하고 애플리케이션이 게시된 이후 변경되거나 손상되지 않았는지 확인하는 것이 좋습니다. 이를 통해 바이러스나 기타 악성 코드가 포함된 애플리케이션 버전을 설치하는 것을 방지할 수 있습니다.

이 주제의 단계를 실행한 후에 Amazon Inspector Classic 에이전트의 소프트웨어가 변경 또는 손상된 것을 확인한 경우 설치 파일을 실행하지 마십시오. 대신, AWS Support에 문의하십시오.

Linux 기반 운영 체제용 Amazon Inspector Classic 에이전트 파일은 보안 디지털 서명을 위한 Pretty Good Privacy 표준의 오픈 소스 구현(OpenPGP)인 GnuPG를 사용하여 서명됩니다. GnuPG(GPG라고도 함)는 디지털 서명을 통해 인증 및 무결성 검사를 제공합니다. Amazon EC2는 다운로드한 Amazon EC2 CLI 도구를 확인하는 데 사용할 수 있는 퍼블릭 키 및 서명을 게시합니다. PGP 및 GnuPG(GPG)에 대한 자세한 내용은 http://www.gnupg.org를 참조하십시오.

첫 번째 단계는 소프트웨어 게시자와 신뢰를 구축하는 것입니다. 소프트웨어 게시자의 퍼블릭 키를 다운로드하고, 퍼블릭 키의 소유자가 정당한 소유자인지 확인한 다음, 퍼블릭 키를 인증 키에 추가합니다. 인증 키는 알려진 퍼블릭 키의 모음입니다. 퍼블릭 키의 신뢰성을 설정한 후 이를 사용하여 애플리케이션의 서명을 확인할 수 있습니다.

GPG 도구 설치

Linux 또는 Unix 운영 체제를 사용하는 경우 일반적으로 GPG 도구가 이미 설치되어 있습니다. 시스템에 도구가 설치되어 있는지 테스트하려면 명령 프롬프트에 gpg를 입력합니다. GPG 도구가 설치되어 있는 경우 GPG 명령 프롬프트가 표시됩니다. GPG 도구가 설치되어 있지 않은 경우 명령을 찾을 수 없다는 오류가 표시됩니다. 리포지토리에서 GnuPG 패키지를 설치할 수 있습니다.

Debian 기반 Linux에서 GPG 도구를 설치하려면

• 터미널에서 apt-get install gnupg 명령을 실행합니다.

Red Hat 기반 Linux에서 GPG 도구를 설치하려면

• 터미널에서 yum install gnupg 명령을 실행합니다.

퍼블릭 키 인증 및 가져오기

프로세스의 다음 단계는 Amazon Inspector Classic 퍼블릭 키를 인증하고 이를 신뢰할 수 있는 키로 GPG 인증 키에 추가하는 것입니다.

Amazon Inspector Classic 퍼블릭 키를 인증하고 가져오려면.

1. 다음 중 하나를 수행하여 퍼블릭 GPG 빌드 키 사본을 가져옵니다.

   • https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg에서 다운로드합니다.

   • 다음 텍스트에서 키를 복사하여 inspector.gpg라는 파일에 붙여 넣습니다. 다음의 모든 항목을 포함해야 합니다.

     -----BEGIN PGP PUBLIC KEY BLOCK-----
     Version: GnuPG v2.0.18 (GNU/Linux)
     
     mQINBFYDlfEBEADFpfNt/mdCtsmfDoga+PfHY9bdXAD68yhp2m9NyH3BOzle/MXI
     8siNfoRgzDwuWnIaezHwwLWkDw2paRxp1NMQ9qRe8Phq0ewheLrQu95dwDgMcw90
     gf9m1iKVHjdVQ9qNHlB2OFknPDxMDRHcrmlJYDKYCX3+MODEHnlK25tIH2KWezXP
     FPSU+TkwjLRzSMYH1L8IwjFUIIi78jQS9a31R/cOl4zuC5fOVghYlSomLI8irfoD
     JSa3csVRujSmOAf9o3beiMR/kNDMpgDOxgiQTu/Kh39cl6o8AKe+QKK48kqO7hra
     h1dpzLbfeZEVU6dWMZtlUksG/zKxuzD6d8vXYH7Z+x09POPFALQCQQMC3WisIKgj
     zJEFhXMCCQ3NLC3CeyMq3vP7MbVRBYE7t3d2uDREkZBgIf+mbUYfYPhrzy0qT9Tr
     PgwcnUvDZuazxuuPzucZGOJ5kbptat3DcUpstjdkMGAId3JawBbps77qRZdA+swr
     o9o3jbowgmf0y5ZS6KwvZnC6XyTAkXy2io7mSrAIRECrANrzYzfp5v7uD7w8Dk0X
     1OrfOm1VufMzAyTu0YQGBWaQKzSB8tCkvFw54PrRuUTcV826XU7SIJNzmNQo58uL
     bKyLVBSCVabfs0lkECIesq8PT9xMYfQJ421uATHyYUnFTU2TYrCQEab7oQARAQAB
     tCdBbWF6b24gSW5zcGVjdG9yIDxpbnNwZWN0b3JAYW1hem9uLmNvbT6JAjgEEwEC
     ACIFAlYDlfECGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJECR0CWBYNgQY
     8yUP/2GpIl40f3mKBUiSTe0XQLvwiBCHmY+V9fOuKqDTinxssjEMCnz0vsKeCZF/
     L35pwNa/oW0OJa8D7sCkKG+8LuyMpcPDyqptLrYPprUWtz2+qLCHgpWsrku7ateF
     x4hWS0jUVeHPaBzI9V1NTHsCx9+nbpWQ5Fk+7VJI8hbMDY7NQx6fcse8WTlP/0r/
     HIkKzzqQQaaOf5t9zc5DKwi+dFmJbRUyaq22xs8C81UODjHunhjHdZ21cnsgk91S
     fviuaum9aR4/uVIYOTVWnjC5J3+VlczyUt5FaYrrQ5ov0dM+biTUXwve3X8Q85Nu
     DPnO/+zxb7Jz3QCHXnuTbxZTjvvl60Oi8//uRTnPXjz4wZLwQfibgHmk1++hzND7
     wOYA02Js6v5FZQlLQAod7q2wuA1pq4MroLXzziDfy/9ea8B+tzyxlmNVRpVZY4Ll
     DOHyqGQhpkyV3drjjNZlEofwbfu7m6ODwsgMl5ynzhKklJzwPJFfB3mMc7qLi+qX
     MJtEX8KJ/iVUQStHHAG7daL1bxpWSI3BRuaHsWbBGQ/mcHBgUUOQJyEp5LAdg9Fs
     VP55gWtF7pIqifiqlcfgG0Ov+A3NmVbmiGKSZvfrc5KsF/k43rCGqDx1RV6gZvyI
     LfO9+3sEIlNrsMib0KRLDeBt3EuDsaBZgOkqjDhgJUesqiCy
     =iEhB
     -----END PGP PUBLIC KEY BLOCK-----
     

2. inspector.gpg를 저장한 디렉터리의 명령 프롬프트에서 다음 명령을 사용하여 Amazon Inspector Classic 퍼블릭 키를 인증 키로 가져옵니다.

   gpg --import inspector.gpg

   이 명령은 다음과 같은 결과를 반환합니다.

   gpg: key 58360418: public key "Amazon Inspector <inspector@amazon.com>" imported
                       gpg: Total number processed: 1
                       gpg:               imported: 1  (RSA: 1)

   다음 단계에서 필요하므로 키 값을 적어 둡니다. 이전 예제에서 키 값은 58360418입니다.

3. 키-값을 이전 단계의 값으로 대체하고 다음 명령을 실행하여 지문을 확인합니다.

   gpg --fingerprint key-value

   이 명령에서 다음과 비슷한 결과를 반환합니다.

   pub   4096R/58360418 2015-09-24
                   Key fingerprint = DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418
                   uid                  Amazon Inspector <inspector@amazon.com>

   또한 지문 문자열은 이전 예제에 표시된 DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418과 동일해야 합니다. 반환된 키 지문을 이 페이지에 게시된 지문과 비교합니다. 두 지문이 일치해야 합니다. 일치하지 않을 경우 Amazon Inspector Classic 에이전트 설치 스크립트를 설치하지 말고 AWS Support에 문의하십시오.

패키지의 서명 확인

GPG 도구를 설치하고, Amazon Inspector Classic 퍼블릭 키를 인증 및 가져오고, 퍼블릭 키가 신뢰할 수 있는지 확인하면 설치 스크립트의 서명을 확인할 준비가 된 것입니다.

설치 스크립트 서명을 확인하려면

1. 명령 프롬프트에서 다음 명령을 실행하여 설치 스크립트용 서명 파일을 다운로드합니다.

   curl -O https://inspector-agent.amazonaws.com/linux/latest/install.sig

2. install.sig 및 Amazon Inspector Classic 설치 파일을 저장한 디렉터리의 명령 프롬프트에서 다음 명령을 실행하여 서명을 확인합니다. 두 파일이 모두 있어야 합니다.

   gpg --verify ./install.sig

   출력은 다음과 같아야 합니다.

   gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418
   gpg: Good signature from "Amazon Inspector <inspector@amazon.com>" [unknown]
   gpg: WARNING: This key is not certified with a trusted signature!
   gpg:          There is no indication that the signature belongs to the owner.
   Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418
   

   출력에 Good signature from "Amazon Inspector <inspector@amazon.com>" 문구가 포함된 경우 서명을 확인했고 Amazon Inspector Classic 설치 스크립트 실행을 계속할 수 있음을 의미합니다.

   출력에 BAD signature 문구가 포함된 경우 절차를 올바르게 수행했는지 확인합니다. 계속해서 이 응답을 받게 되면 이전에 다운로드한 설치 파일을 실행하지 말고 AWS Support에 문의하십시오.

다음은 표시될 수 있는 경고에 대한 세부 정보입니다.

• 경고: 이 키는 신뢰할 수 있는 서명으로 인증되지 않았습니다. 서명이 소유자에게 속한다는 표시가 없습니다. 이는 사용자가 Amazon Inspector Classic에 대한 신뢰할 수 있는 퍼블릭 키를 소유하고 있다는 개인적인 신뢰 수준을 가리킬 뿐입니다. AWS 사무실을 방문하여 직접 키를 받는 것이 이상적입니다. 그러나 대부분의 경우 웹 사이트에서 다운로드합니다. 이 경우 웹 사이트는 AWS 웹 사이트입니다.

• gpg: 궁극적으로 신뢰할 수 있는 키를 찾을 수 없습니다. 이는 사용자(또는 사용자가 신뢰하는 다른 사용자)가 특정 키를 "궁극적으로 신뢰"하지 않음을 뜻합니다.

자세한 내용은 http://www.gnupg.org를 참조하세요.