(Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector Classic em sistemas operacionais baseados em Linux - Amazon Inspector Classic
Como instalar as ferramentas do GPGComo autenticar e importar a chave públicaVerificar a assinatura do pacote

Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ e escolha Amazon Inspector Classic no painel de navegação.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

(Opcional) Verifique a assinatura do script de instalação do agente do Amazon Inspector Classic em sistemas operacionais baseados em Linux

Este tópico descreve o processo recomendado de verificação da validade do script de instalação do agente do Amazon Inspector Classic para sistemas operacionais baseados em Linux.

Sempre que baixar um aplicativo da Internet, recomendamos que você autentique a identidade do fornecedor do software e verifique se o aplicativo não foi alterado ou corrompido desde que foi publicado. Isso protege você contra a instalação de uma versão do aplicativo que contenha um vírus ou outro código mal-intencionado.

Se depois de executar as etapas neste tópico, você determinar que o software do agente do Amazon Inspector Classic está alterado ou corrompido, NÃO execute o arquivo de instalação. Em vez disso, entre em contato com AWS Support.

Os arquivos do agente Amazon Inspector Classic para sistemas operacionais baseados em Linux são assinados usando GnuPG, uma implementação de código aberto do padrão Pretty Good Privacy (OpenPGP) para assinaturas digitais seguras. GnuPG (também conhecido como GPG) fornece autenticação e verificação de integridade por meio de uma assinatura digital. O Amazon EC2 publica uma chave pública e assinaturas que você pode usar para verificar as ferramentas da CLI do Amazon EC2 baixadas. Para obter mais informações sobre PGP e GnuPG (GPG), consulte http://www.gnupg.org.

A primeira etapa é estabelecer confiança com o fornecedor do software. Faça download da chave pública do fornecedor do software, verifique se o proprietário da chave pública é quem afirma ser e, em seguida, adicione a chave pública ao seu keyring. O keyring é um conjunto de chaves públicas conhecidas. Após estabelecer a autenticidade da chave pública, você pode usá-la para verificar a assinatura do aplicativo.

Como instalar as ferramentas do GPG

Se o seu sistema operacional for Linux ou Unix, as ferramentas do GPG já estarão instaladas. Para testar se as ferramentas estão instaladas no sistema, digite gpg em um prompt de comando. Se as ferramentas do GPG estiverem instaladas, um prompt de comando do GPG será exibido. Se as ferramentas do GPG não estiverem instaladas, uma mensagem de erro será exibida informando que o comando não pode ser encontrado. Você pode instalar o pacote GnuPG a partir de um repositório.

Para instalar as ferramentas do GPG no Linux baseado em Debian

  • Em um terminal, execute o comando a seguir: apt-get install gnupg.

Para instalar as ferramentas do GPG no Linux baseado em Red Hat

  • Em um terminal, execute o comando a seguir: yum install gnupg.

Como autenticar e importar a chave pública

A próxima etapa do processo é autenticar a chave pública do Amazon Inspector Classic e adicioná-la como uma chave confiável ao seu keyring GPG.

Para autenticar e importar a chave pública do Amazon Inspector Classic

  1. Obtenha uma cópia de nossa compilação de chave pública do GPG de uma das seguintes maneiras:

    • Baixe em https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg.

    • Copie a chave do texto abaixo e cole-a em um arquivo chamado inspector.gpg. Certifique-se de incluir tudo o que está a seguir:

      -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.18 (GNU/Linux)
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=iEhB
-----END PGP PUBLIC KEY BLOCK-----

  2. Em um prompt de comando no diretório onde você salvou inspector.gpg, use o seguinte comando para importar a chave pública do Amazon Inspector Classic para o seu chaveiro:

    gpg --import inspector.gpg

    O comando retorna resultados semelhantes a:

    gpg: key 58360418: public key "Amazon Inspector <inspector@amazon.com>" imported
                    gpg: Total number processed: 1
                    gpg:               imported: 1  (RSA: 1)

    Anote o valor da chave, ele será necessário na próxima etapa. No exemplo anterior, o valor da chave é 58360418.

  3. Verifique a impressão digital, executando o comando a seguir, substituindo chave-valor pelo valor da etapa anterior:

    gpg --fingerprint key-value

    Esse comando retorna resultados semelhantes a:

    pub   4096R/58360418 2015-09-24
                Key fingerprint = DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418
                uid                  Amazon Inspector <inspector@amazon.com>

    Além disso, a cadeia de caracteres da impressão digital deve ser idêntica a DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418 mostrado acima no exemplo anterior. Compare a impressão digital da chave retornada à publicada nesta página. Elas devem corresponder. Se elas não corresponderem, não instale o script de instalação do agente da Amazon Inspector Classic e entre em contato com AWS Support.

Verificar a assinatura do pacote

Depois de instalar as ferramentas GPG, autenticar e importar a chave pública do Amazon Inspector Classic e verificar se a chave pública é confiável, você estará pronto para verificar a assinatura do script de instalação.

Para verificar a assinatura do script de instalação

  1. Em um prompt de comando, execute o comando a seguir para baixar o arquivo de assinatura do script de instalação:

    curl -O https://inspector-agent.amazonaws.com/linux/latest/install.sig

  2. Verifique a assinatura executando o comando a seguir em um prompt de comando no diretório onde você salvou install.sig e o arquivo de instalação do Amazon Inspector Classic. Ambos os arquivos devem estar presentes.

    gpg --verify ./install.sig

    A saída deve parecer com algo semelhante ao seguinte:

    gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418
gpg: Good signature from "Amazon Inspector <inspector@amazon.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46  6DC0 2474 0960 5836 0418

    Se a saída contiver a frase Good signature from "Amazon Inspector <inspector@amazon.com>", isso significa que a assinatura foi confirmada com êxito e você pode dar continuidade à execução do script de instalação do Amazon Inspector Classic.

    Se a saída inclui a frase BAD signature, verifique se você executou o procedimento corretamente. Se você continuar a receber essa resposta, não execute o arquivo de instalação que baixou anteriormente e entre em contato com AWS Support.

Veja a seguir os detalhes sobre as advertências que talvez sejam exibidas:

  • AVISO: esta chave não está certificada com uma assinatura confiável! Não há indicação de que a assinatura pertença ao proprietário. Isso se refere ao seu nível pessoal de confiança de que você tem uma chave pública autêntica para o Amazon Inspector Classic. A situação ideal seria você visitar um escritório da AWS e receber uma chave em pessoa. No entanto, é mais frequente você baixá-la de um site. Nesse caso, o site é uma AWS.

  • gpg: em última análise, nenhuma chave confiável encontrada. Isso significa que a chave específica não é "essencialmente confiável" (por você ou por outras pessoas que você confia).

Para obter mais informações, consulte http://www.gnupg.org.