本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證 Session Manager 外掛程式的簽章
Linux 執行個體的 Session Manager 外掛程式 RPM 和 Debian 安裝程式套件都經過加密簽署。您可以使用公有金鑰來驗證外掛程式二進位資料和套件是否為原版且未經修改。如果檔案有任何更改或損壞,驗證會失敗。您可以使用 GNU Privacy Guard (GPG) 工具來驗證安裝程式套件的簽章。以下資訊適用於 Session Manager 外掛程式 1.2.707.0 版或更新版本。
完成下列步驟,以驗證 Session Manager 外掛程式安裝程式套件的簽章。
主題
步驟 1:下載 Session Manager 外掛程式安裝程式套件
下載您想要驗證的 Session Manager 外掛程式安裝程式套件。
Amazon Linux 2、AL2023 與 RHEL RPM 套件
Debian Server 和 Ubuntu Server Deb 套件
步驟 2:下載關聯的簽章檔案
下載安裝程式套件後,請下載關聯的簽章檔案,以進行套件驗證。為了提供額外的保護,防止未經授權複製或使用套件內的 session-manager-plugin 二進位檔案,我們也提供二進位簽章,您可以使用這些簽章來驗證個別的二進位檔案。您可以根據您的安全需求,選擇使用這些二進位簽章。
Amazon Linux 2、AL2023 和 RHEL 簽章套件
Debian Server 與 Ubuntu Server Deb 簽章套件
步驟 3:安裝 GPC 工具
若要驗證 Session Manager 外掛程式的簽章,您必須在系統中安裝 GNU Privacy Guard (GPG) 工具。驗證程序要求使用 GPG 2.1 版或更新版本。您可執行下列命令,檢查您的 GPG 版本:
gpg --version
如果您的 GPG 版本早於 2.1,請在繼續進行驗證程序之前更新它。對於大多數系統,您可以使用套件管理員來更新 GPG 工具。例如,在支援的 Amazon Linux 與 RHEL 版本上,您可以使用下列命令:
sudo yum update sudo yum install gnupg2
在支援的 Ubuntu Server 與 Debian Server 系統中,您可以使用下列命令:
sudo apt-get update sudo apt-get install gnupg2
在繼續進行驗證程序之前,請確保您擁有必要的 GPG 版本。
步驟 4:在 Linux 伺服器上驗證 Session Manager 外掛程式安裝程式套件
使用下列程序來驗證 Linux 伺服器上的 Session Manager 外掛程式安裝程式套件。
注意
Amazon Linux 2 不支援 gpg 工具 2.1 版或更新版本。如果下列程序不適用於您的 Amazon Linux 2 執行個體,請在其他平台上驗證簽章,再將其安裝在您的 Amazon Linux 2 執行個體上。
-
複製下列公有金鑰,並將它儲存至名為 session-manager-plugin.gpg 的檔案。
-----BEGIN PGP PUBLIC KEY BLOCK----- mFIEZ5ERQxMIKoZIzj0DAQcCAwQjuZy+IjFoYg57sLTGhF3aZLBaGpzB+gY6j7Ix P7NqbpXyjVj8a+dy79gSd64OEaMxUb7vw/jug+CfRXwVGRMNtIBBV1MgU1NNIFNl c3Npb24gTWFuYWdlciA8c2Vzc2lvbi1tYW5hZ2VyLXBsdWdpbi1zaWduZXJAYW1h em9uLmNvbT4gKEFXUyBTeXN0ZW1zIE1hbmFnZXIgU2Vzc2lvbiBNYW5hZ2VyIFBs dWdpbiBMaW51eCBTaWduZXIgS2V5KYkBAAQQEwgAqAUCZ5ERQ4EcQVdTIFNTTSBT ZXNzaW9uIE1hbmFnZXIgPHNlc3Npb24tbWFuYWdlci1wbHVnaW4tc2lnbmVyQGFt YXpvbi5jb20+IChBV1MgU3lzdGVtcyBNYW5hZ2VyIFNlc3Npb24gTWFuYWdlciBQ bHVnaW4gTGludXggU2lnbmVyIEtleSkWIQR5WWNxJM4JOtUB1HosTUr/b2dX7gIe AwIbAwIVCAAKCRAsTUr/b2dX7rO1AQCa1kig3lQ78W/QHGU76uHx3XAyv0tfpE9U oQBCIwFLSgEA3PDHt3lZ+s6m9JLGJsy+Cp5ZFzpiF6RgluR/2gA861M= =2DQm -----END PGP PUBLIC KEY BLOCK----- -
將公開金鑰匯入至您的 keyring。傳回的金鑰值應為
2C4D4AFF6F6757EE。$ gpg --import session-manager-plugin.gpg gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported gpg: Total number processed: 1 gpg: imported: 1 -
執行下列命令來驗證指紋。
gpg --fingerprint 2C4D4AFF6F6757EE命令輸出指紋應該與下列項目相符。
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EEpub nistp256 2025-01-22 [SC] 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE uid [ unknown] AWS SSM Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)若指紋不相符,請勿安裝外掛程式。聯絡人 AWS 支援。
-
確認安裝程式套件簽章。將
signature-filename和downloaded-plugin-filename替換為您在下載簽章檔案和 session-manager-plugin 時指定的值 (已在本主題稍前部分的表格中列出)。gpg --verifysignature-filenamedownloaded-plugin-filename例如,對於 Amazon Linux 2 上的 x86_64 架構,命令如下所示:
gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm此命令會傳回類似以下的輸出。
gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE gpg: Good signature from "AWS Systems Manager Session Manager <session-manager-plugin-signer@amazon.com> (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
如果輸出包含 BAD signature 片語,請檢查您是否已正確執行程序。如果您繼續收到此回應,請聯絡 AWS 支援 且不要安裝套件。關於信任的警告訊息並不表示該簽章無效,只是您尚未驗證該公有金鑰。只有您或您信任者所簽章的金鑰才能信任。如果輸出包含 Can't check signature: No public key 片語,請驗證是否下載的是 1.2.707.0 版或更新版本的 Session Manager 外掛程式。
