El equipo de lanzamiento de Atlas CLI firma digitalmente todos los paquetes de software y las imágenes de contenedores para certificar que un paquete en particular es válido y no ha sido alterado. Antes de instalar los paquetes de Atlas CLI para Linux, Windows o Docker, deberías validar el paquete usando la firma PGP proporcionada, la suma de verificación SHA-256 o Cosign información.
Verificar Paquetes de Linux
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de llave pública de la última versión de Atlas CLI están disponibles para su descarga desde el servidor de claves.
El siguiente procedimiento verifica el paquete Atlas CLI contra su clave PGP.
Descargar el archivo de instalación de Atlas CLI.
Descarga los binarios de Atlas CLI del Centro de descargas de MongoDB según tu entorno Linux. Haga clic Copy link y utilice la URL en las instrucciones siguientes.
Por ejemplo, para descargar el 1.53.3 lanzamiento para Linux a través del shell, ejecute el siguiente comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.53.3_linux_x86_64.tar.gz
Descarga e importa el archivo clave.
Ejecuta el siguiente comando para descargar e importar el archivo de clave:
curl -LO https://pgp.mongodb.com/atlas-cli.asc gpg --import atlas-cli.asc
gpg: key <key-value-short>: public key "Atlas CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifica el archivo de instalación de Atlas CLI.
Ejecute el siguiente comando para verificar el archivo de instalación:
gpg --verify mongodb-atlas-cli_1.53.3_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.53.3_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está correctamente firmado, pero actualmente no confías en la clave de firma, gpg también devuelve el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verifica los paquetes de Windows
El siguiente procedimiento verifica el paquete CLI de Atlas contra su clave SHA-256.
Descargar el archivo de instalación de Atlas CLI.
Descarga el archivo Atlas CLI .msi o .zip desde el MongoDB Download Center o desde Github.
Guardar la firma pública.
Descargue el archivo
checksums.txtde la versión de Github, que contiene la clave SHA-256 para cada archivo. Por ejemplo, para la versión 1.53.3, descarga el archivo1.53.3 checksums.txt.Abre el archivo
checksums.txty copia el texto listado a la izquierda del paquete que descargaste. Por ejemplo, si descargastemongodb-atlas-cli_1.53.3_windows_x86_64.zip, copia el texto a la izquierda demongodb-atlas-cli_1.53.3_windows_x86_64.zip. Este valor es el valor de clave SHA-256.Guarda el valor de la clave SHA-256 en un archivo
.txtllamadoatlas-cli-keyen tu carpeta Descargas.
Compare el archivo de firmas con el hash del instalador de Atlas CLI.
Ejecute el comando de Powershell para verificar el paquete según el archivo descargado.
Si descargaste mongodb-atlas-cli_1.53.3_windows_x86_64.zip, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.53.3_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Si descargaste mongodb-atlas-cli_1.53.3_windows_x86_64.msi, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.53.3_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
El comando devuelve el valor clave del archivo de firma, el valor clave del paquete descargado y True si los dos valores coinciden.
Si los dos valores coinciden, se verifica el binario de Atlas CLI.
Verificar imágenes de contenedores Docker
Puedes usar Cosign para verificar la firma de MongoDB en las imágenes de contenedor de Atlas CLI.
Para verificar la firma del contenedor de MongoDB, realice los siguientes pasos:
Descargar e instalar Cosign.
Ejemplo: MacOS
brew install cosign
Para obtener instrucciones completas de instalación, consulta Cosign.
Verifica la firma.
Ejecute el siguiente comando para verificar la firma mediante la etiqueta:
COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]