누가 키를 업데이트해야 합니까?
NGINX, Inc.는 RPM 패키지와 Debian/Ubuntu 저장소에서 GPG 키를 사용하여
다운로드한 패키지의 무결성과 출처를 확인합니다.
많은 GPG 키 사용자는 보안을 위해 키가 주기적으로 만료되도록 설정하며,
NGINX, Inc.의 GPG 키도 오는 8월 17일에 만료될 예정입니다.
따라서 아래의 경우에는 반드시 GPG 키를 업데이트해야 합니다:
- NGINX Plus를 사용하는 경우
- NGINX Amplify를 사용하는 경우
- **NGINX, Inc.**에서 제공하는 사전 빌드된 NGINX 오픈 소스 바이너리를 사용하는 경우
반면, 아래의 경우에는 GPG 키를 업데이트할 필요가 없습니다:
- 운영 체제 패키지를 통해 NGINX를 사용하는 경우 (대부분의 운영 체제는 자체 저장소에 NGINX를 포함)
- 소스에서 직접 컴파일한 경우 (이 경우, gpg --verify 명령을 통해 소스 패키지 서명을 직접 확인 가능)
GPG 키는 소프트웨어 패키지의 신뢰성과 무결성을 보장하는 중요한 요소이므로,
만료된 키를 사용하지 않도록 반드시 최신 버전으로 업데이트하시기 바랍니다.
GPG 키 업데이트
업데이트된 키로 전환하려면 키를 다시 페치하고 다시 가져오기만 하면 됩니다.
프로세스는 운영 체제에 따라 다릅니다.
Debian/Ubuntu에서 키 업데이트
키를 잘못 구성한 경우 다음을 실행할 때 다음 오류 중 하나가 표시됩니다 apt-get update.
nginx/x86_64/signature | 2.9 kB 00:00:10
!!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml:
[Errno -1] repomd.xml signature could not be verified for nginx
nginx/x86_64/signature | 2.9 kB 00:00:00
!!!http://nginx.org/packages/mainline/centos/7/x86_64/repodata/repomd.xml:
[Errno -1] Gpg Keys not imported, cannot verify repomd.xml for repo nginx
키를 업데이트하려면 새 GPG 키를 다운로드하고 이전 키를 덮어쓰세요.
# curl -O https://nginx.org/keys/nginx_signing.key && apt-key add ./nginx_signing.key
새 키의 만료 날짜를 확인하려면 다음을 실행하세요 apt-key list.
# apt-key list
...
pub 2048R/7BD9BF62 2011-08-19 [expires: 2024-06-14]
uid nginx signing key <signing-key@nginx.com>
...
Amazon Linux, CentOS, Oracle Linux, RHEL 및 SLES에서 키 업데이트
저장소가 GPG 키를 확인하고 검증하도록 구성되어 있는지 확인하세요.
기본적으로 NGINX 및 NGINX Plus 저장소의 경우 확인이 비활성화되지만
NGINX Amplify 저장소의 경우 활성화됩니다.
/etc/yum.repos.d 의 yum 저장소 파일에 다음 줄이 포함되어 있으면 확인이 비활성화됩니다.
gpgcheck=0
다음은 검사가 비활성화된 샘플 저장소 파일 /etc/yum.repos.d/nginx.repo 입니다.
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
enabled=1
이 경우에는 아무런 조치도 필요하지 않습니다.
(확인을 비활성화하면 새 패키지를 설치할 때 경고가 표시되지만 설치는 여전히 성공합니다.)
GPG 검사를 명시적으로 구성한 경우 키를 교체해야 합니다.
다음 명령을 실행하여 로컬에 다운로드한 패키지의 진위 여부를 확인할 수 있습니다 rpm -K.
키가 없으면 다음 오류가 표시됩니다.
# rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpmnginx-1.11.3-1.el7.ngx.x86_64.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#7bd9bf62)
키가 올바르게 구성된 경우 다음 메시지가 표시됩니다.
# rpm -K nginx-1.11.3-1.el7.ngx.x86_64.rpmnginx-1.11.3-1.el7.ngx.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
GPG 키를 업데이트하려면 다음 단계를 수행하세요.
현재 NGINX GPG 키가 설치되어 있는지 확인하세요.
# rpm -qi gpg-pubkey-7bd9bf62-*
키가 설치된 경우 출력에는 릴리스 번호와 빌드 날짜가 포함됩니다.
...
Release : 5762b5f8
...
Build Date : Fri 19 Aug 2011 05:52:34 AM EDT
...
설치되지 않은 경우 다음 메시지가 나타납니다.
package gpg-pubkey-7bd9bf62-* is not installed
현재 NGINX GPG 키를 제거합니다.
# rpm -e --allmatches gpg-pubkey-7bd9bf62-*
새로운 키를 다운로드하고 설치하세요:
# curl -O https://nginx.org/keys/nginx_signing.key# rpm --import ./nginx_signing.key
(이 플랫폼에서는 확인 가능한 출력이 없습니다.)
새로운 GPG 키에 대한 릴리스 및 빌드 날짜 정보를 확인하세요:
# rpm -qi gpg-pubkey-7bd9bf62-*...
Release : 4e4e3262
...
Build Date : Thu 16 Jun 2016 10:21:44 AM EDT
FreeBSD에서 키 업데이트
FreeBSD 패키지 관리 시스템은 GPG 키를 사용하지 않으므로 아무런 조치가 필요하지 않습니다.
GPG 키의 진위성 확인
또한 다운로드한 GPG 키의 진위성을 확인할 수도 있습니다.
GPG는 "신뢰의 웹(Web of Trust)"개념을 기반으로 하며, 키가 다른 사람의 키로 서명될 수 있고,
그 키는 다시 또 다른 키로 서명될 수 있습니다.
이 접근 방식은 신뢰할 수 있는 사람의 키와 임의의 키 사이에 체인을 구축하며,
이를 통해 체인의 첫 번째 키의 진위성을 확인할 수 있습니다.
자세한 내용은 GPG Mini Howto 에서 확인할 수 있습니다.
NGINX, Inc.의 키는 충분한 서명을 포함하고 있어,
그 진위성을 비교적 쉽게 확인할 수 있습니다.
GPG 키를 업데이트하는 동안 지원을 받으려면:
- NGINX Plus 고객 – 전문가에게 문의하세요.
- NGINX 오픈 소스 사용자 – 다른 NGINX KOREA 에서 지원 받기
NGINX Plus, NGINX Amplify, 또는 nginx.org에서 제공하는 사전 빌드된 NGINX 오픈 소스 바이너리를 사용하는 경우,
지금 GPG 키를 업데이트해야 할 수 있습니다. 일부 NGINX 소프트웨어의 GPG 키(자세한 내용은 아래 참조)는 8월 17일(수요일)에 만료됩니다.
키를 업데이트하지 않으면 소프트웨어 서명을 확인할 수 없으니 주의하시기 바랍니다.
이번 공지는 NGINX, Inc.가 아닌 다른 공급업체(예: 운영 체제 배포판)를 통해 NGINX 오픈 소스를 사용하는 경우에는 적용되지 않습니다.
GPG 키는 Gnu Privacy Guard(GnuPG)의 일부로, OpenPGP 표준의 무료 구현이며 일반적으로 PGP로 알려져 있습니다.
이 키는 저장소 패키지가 해당 키의 소유자가 작성한 것임을 검증하는 데 사용됩니다.
누가 키를 업데이트해야 합니까?
NGINX, Inc.는 RPM 패키지와 Debian/Ubuntu 저장소에서 GPG 키를 사용하여
다운로드한 패키지의 무결성과 출처를 확인합니다.
많은 GPG 키 사용자는 보안을 위해 키가 주기적으로 만료되도록 설정하며,
NGINX, Inc.의 GPG 키도 오는 8월 17일에 만료될 예정입니다.
따라서 아래의 경우에는 반드시 GPG 키를 업데이트해야 합니다:
반면, 아래의 경우에는 GPG 키를 업데이트할 필요가 없습니다:
GPG 키는 소프트웨어 패키지의 신뢰성과 무결성을 보장하는 중요한 요소이므로,
만료된 키를 사용하지 않도록 반드시 최신 버전으로 업데이트하시기 바랍니다.
GPG 키 업데이트
업데이트된 키로 전환하려면 키를 다시 페치하고 다시 가져오기만 하면 됩니다.
프로세스는 운영 체제에 따라 다릅니다.
Debian/Ubuntu에서 키 업데이트
키를 잘못 구성한 경우 다음을 실행할 때 다음 오류 중 하나가 표시됩니다 apt-get update.
키를 업데이트하려면 새 GPG 키를 다운로드하고 이전 키를 덮어쓰세요.
새 키의 만료 날짜를 확인하려면 다음을 실행하세요 apt-key list.
Amazon Linux, CentOS, Oracle Linux, RHEL 및 SLES에서 키 업데이트
저장소가 GPG 키를 확인하고 검증하도록 구성되어 있는지 확인하세요.
기본적으로 NGINX 및 NGINX Plus 저장소의 경우 확인이 비활성화되지만
NGINX Amplify 저장소의 경우 활성화됩니다.
/etc/yum.repos.d 의 yum 저장소 파일에 다음 줄이 포함되어 있으면 확인이 비활성화됩니다.
다음은 검사가 비활성화된 샘플 저장소 파일 /etc/yum.repos.d/nginx.repo 입니다.
이 경우에는 아무런 조치도 필요하지 않습니다.
(확인을 비활성화하면 새 패키지를 설치할 때 경고가 표시되지만 설치는 여전히 성공합니다.)
GPG 검사를 명시적으로 구성한 경우 키를 교체해야 합니다.
다음 명령을 실행하여 로컬에 다운로드한 패키지의 진위 여부를 확인할 수 있습니다 rpm -K.
키가 없으면 다음 오류가 표시됩니다.
키가 올바르게 구성된 경우 다음 메시지가 표시됩니다.
GPG 키를 업데이트하려면 다음 단계를 수행하세요.
현재 NGINX GPG 키가 설치되어 있는지 확인하세요.키가 설치된 경우 출력에는 릴리스 번호와 빌드 날짜가 포함됩니다.
설치되지 않은 경우 다음 메시지가 나타납니다.
현재 NGINX GPG 키를 제거합니다.
새로운 키를 다운로드하고 설치하세요:
(이 플랫폼에서는 확인 가능한 출력이 없습니다.)
새로운 GPG 키에 대한 릴리스 및 빌드 날짜 정보를 확인하세요:
FreeBSD에서 키 업데이트
FreeBSD 패키지 관리 시스템은 GPG 키를 사용하지 않으므로 아무런 조치가 필요하지 않습니다.
GPG 키의 진위성 확인
또한 다운로드한 GPG 키의 진위성을 확인할 수도 있습니다.
GPG는 "신뢰의 웹(Web of Trust)"개념을 기반으로 하며, 키가 다른 사람의 키로 서명될 수 있고,
그 키는 다시 또 다른 키로 서명될 수 있습니다.
이 접근 방식은 신뢰할 수 있는 사람의 키와 임의의 키 사이에 체인을 구축하며,
이를 통해 체인의 첫 번째 키의 진위성을 확인할 수 있습니다.
자세한 내용은 GPG Mini Howto 에서 확인할 수 있습니다.
NGINX, Inc.의 키는 충분한 서명을 포함하고 있어,
그 진위성을 비교적 쉽게 확인할 수 있습니다.
GPG 키를 업데이트하는 동안 지원을 받으려면:
위 내용과 같이 NGINX Plus 를 활용하여 Demo 가 필요하시면 하단의 전문가에게 상담받기 버튼을 클릭해주세요
전문가에게 상담받기