El equipo de lanzamiento de Atlas CLI firma digitalmente todos los paquetes de software e imágenes de contenedor para certificar que un paquete en particular es válido y no ha sido modificado. Antes de instalar los paquetes de Atlas CLI para Linux, Windows o Docker, debe validarlos mediante la firma PGP proporcionada, la suma de comprobación SHA-256 o Cosign información.
Verificar paquetes de Linux
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de clave pública de la última versión de Atlas CLI están disponibles para su descarga desde el servidor de claves.
El siguiente procedimiento verifica el paquete Atlas CLI con su clave PGP.
Descargue el archivo de instalación de Atlas CLI.
Descargue los binarios de la CLI de Atlas desde el Centro de descargas de MongoDB según su entorno Linux. Haga clic en Copy link y utilice la URL en las siguientes instrucciones.
Por ejemplo, para descargar el 1.52.0 Para liberar para Linux a través del shell, ejecute el siguiente comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.52.0_linux_x86_64.tar.gz
Descargue e importe el archivo clave.
Ejecute el siguiente comando para descargar e importar el archivo de clave:
curl -LO https://pgp.mongodb.com/atlas-cli.asc gpg --import atlas-cli.asc
gpg: key <key-value-short>: public key "Atlas CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique el archivo de instalación de Atlas CLI.
Ejecute el siguiente comando para verificar el archivo de instalación:
gpg --verify mongodb-atlas-cli_1.52.0_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.52.0_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado correctamente, pero actualmente no confía en la clave de firma, gpg también devuelve el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verifica los paquetes de Windows
El siguiente procedimiento verifica el paquete Atlas CLI con su clave SHA-256.
Descargue el archivo de instalación de Atlas CLI.
Descargue el archivo Atlas CLI .msi .zip o del Centro de descargas de MongoDB o Github.
Guardar la firma pública.
Descargue el
checksums.txtarchivo de la versión desde Github, que contiene la256 clave SHA- de cada archivo. Por ejemplo, para la versión..,1 520descargue el 1 520 archivo checksums.txt...Abra el archivo
checksums.txty copie el texto a la izquierda del paquete que descargó. Por ejemplo, si descargómongodb-atlas-cli_1.52.0_windows_x86_64.zip, copie el texto a la izquierda demongodb-atlas-cli_1.52.0_windows_x86_64.zip. Este valor es la clave SHA-256.Guarde el valor de la clave SHA-256 en un archivo
.txtllamadoatlas-cli-keyen su carpeta de Descargas.
Compare el archivo de firma con el hash del instalador Atlas CLI.
Ejecute el comando Powershell para verificar el paquete según el archivo que descargó.
Si descargaste mongodb-atlas-cli_1.52.0_windows_x86_64.zip, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.52.0_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Si descargaste mongodb-atlas-cli_1.52.0_windows_x86_64.msi, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.52.0_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
El comando devuelve el valor de la clave del archivo de firma, el valor de la clave del paquete descargado y True si los dos valores coinciden.
Si los dos valores coinciden, se verifica el binario CLI de Atlas.
Verificar imágenes de contenedores Docker
Puede utilizar Cosign para verificar la firma de MongoDB para las imágenes de contenedor de Atlas CLI.
Para verificar la firma del contenedor de MongoDB, realice los siguientes pasos:
Descargue e instale Cosign.
Ejemplo: MacOS
brew install cosign
Para obtener instrucciones de instalación completas, consulte Cosign.
Verifica la firma.
Ejecute el siguiente comando para verificar la firma mediante la etiqueta:
COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]