更新:Linux 软件包签名密钥轮换
作者:Barbara Nelson / 用例, 公司
2023 年 1 月 24 日
导航至
2023-01-26 更新: 截至 2023-01-26,InfluxData 的 Linux 软件包签名密钥已轮换。用户应更新其配置以使用新密钥。
原始版本 2023-01-24: 1 月 4 日,CircleCI 发布了警报,建议所有 CircleCI 用户轮换其密钥。InfluxData 是 CircleCI 的客户,因此,出于高度谨慎,我们正在主动轮换存储在 CircleCI 中的所有密钥。
InfluxData 将 CircleCI 用于各种产品,指纹为 05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5 的 Linux 软件包签名密钥在暴露期间存储在 CircleCI 中。InfluxData 将轮换此签名密钥,因此,Linux DEB 和 RPM 用户必须配置其系统以使用新密钥。
官方 InfluxData 存储库未被入侵,并且 InfluxData 已验证由此密钥签名并通过官方存储库可检索的软件未被修改。此外,虽然假设的攻击者可以使用此密钥来签署看起来像是来自 InfluxData 的二进制文件,但攻击者无权访问官方存储库来将其交付到您的主机。
我们正在分两个阶段轮换密钥签名密钥
- 在 2023-01-26,我们将开始使用新的 Linux 软件包签名密钥,其指纹为
9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E - 在 2023-04-27,我们将撤销旧的 Linux 软件包签名密钥,其指纹为
05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5
一旦新密钥推广到官方 InfluxData 存储库,DEB 和基于 RPM 的 Linux 系统将无法再下载和/或验证来自 InfluxData 存储库的软件,直到进行以下配置更改。InfluxData 将在此帖子中提供更新,说明新密钥何时到位。
配置 Linux 主机以使用新签名密钥
新密钥的指纹是 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E。
基于 DEB 的系统
- 获取并验证新密钥
$ wget -q https://repos.influxdata.com/influxdata-archive_compat.key $ gpg --with-fingerprint --show-keys ./influxdata-archive_compat.key pub rsa4096 2023-01-18 [SC] [expires: 2026-01-17] 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E uid InfluxData Package Signing Key <[email protected]> - 安装新密钥
$ cat influxdata-archive_compat.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null - 更新您的 APT 源以使用新密钥
$ echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | sudo tee /etc/apt/sources.list.d/influxdata.list - 清理旧密钥
$ sudo rm -f /etc/apt/trusted.gpg.d/influxdb.gpg - 确认
sudo apt-get update对于 https://repos.influxdata.com 没有返回错误
以上指定了来自最新文档的文件和配置路径。使用与 /etc/apt/sources.list.d/influxdata.list 不同的文件的用户需要更新该文件以使用 signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg。同样,在与 /etc/apt/trusted.gpg.d/influxdb.gpg 不同的位置安装旧密钥的用户需要使用该位置来删除旧密钥。
基于 RPM 的系统
- 更新您的 YUM 存储库配置以使用新密钥
$ cat <<EOF | sudo tee /etc/yum.repos.d/influxdata.repo [influxdata] name = InfluxData Repository - Stable baseurl = https://repos.influxdata.com/stable/\$basearch/main enabled = 1 gpgcheck = 1 gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key EOF - 下一个从存储库拉取的 YUM 操作将更新密钥
$ sudo yum update && sudo yum install telegraf Importing GPG key 0x7DF8B07E: Userid : "InfluxData Package Signing Key <[email protected]>" Fingerprint: 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E From : https://repos.influxdata.com/influxdata-archive_compat.key Is this ok [y/N]: y - 清理旧密钥
$ sudo rpm --erase gpg-pubkey-2582e0c5-56099b04
以上指定了来自最新文档的配置路径。使用与 /etc/yum.repos.d/influxdata.repo 不同的文件的用户需要更新该文件以使用 gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key。
常见问题解答
客户数据是否已被泄露?
经过仔细调查,我们没有证据表明 InfluxData 客户数据因 CircleCI 事件而泄露。
InfluxData 源代码或二进制文件是否被修改?
经过仔细调查,我们没有发现任何未经授权修改 InfluxData 源代码或二进制文件的证据。
influxdata-archive.key 和 influxdata-archive_compat.key 之间有什么区别?
influxdata-archive.key 签名密钥采用现代的主/子密钥方法,该方法将合并到未来的 Linux 软件包更新中。influxdata-archive_compat.key 可以验证使用 influxdata-archive.key 签名的软件包,并且具有最广泛的 APT 和 RPM 兼容性。此时请使用 influxdata-archive_compat.key。
