El equipo de lanzamiento de Atlas CLI firma digitalmente todos los paquetes de software e imágenes de contenedores para certificar que un paquete en particular es válido y no ha sido alterado. Antes de instalar los paquetes Atlas CLI para Linux, Windows o Docker, es importante validar el paquete utilizando la firma PGP provista, la suma de verificación SHA-256, o la información Cosign.
Verificar Paquetes de Linux
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de llave pública de la última versión de Atlas CLI están disponibles para su descarga desde el servidor de claves.
El siguiente procedimiento verifica el paquete Atlas CLI contra su clave PGP.
Descargar el archivo de instalación de Atlas CLI.
Descargue los binarios de Atlas CLI desde el Centro de descargas de MongoDB según su entorno Linux. Haga clic en Copy link y use la URL en las siguientes instrucciones.
Por ejemplo, para descargar la versión 1.51.1 de Linux a través del shell, ejecute el siguiente comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.51.1_linux_x86_64.tar.gz
Descarga e importa el archivo clave.
Ejecuta el siguiente comando para descargar e importar el archivo de clave:
curl -LO https://pgp.mongodb.com/atlas-cli.asc gpg --import atlas-cli.asc
gpg: key <key-value-short>: public key "Atlas CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifica el archivo de instalación de Atlas CLI.
Ejecute el siguiente comando para verificar el archivo de instalación:
gpg --verify mongodb-atlas-cli_1.51.1_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.51.1_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está correctamente firmado, pero actualmente no confías en la clave de firma, gpg también devuelve el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verifica los paquetes de Windows
El siguiente procedimiento verifica el paquete CLI de Atlas contra su clave SHA-256.
Descargar el archivo de instalación de Atlas CLI.
Descarga el archivo Atlas CLI .msi o .zip desde el MongoDB Download Center o desde Github.
Guardar la firma pública.
Descargue el archivo
checksums.txtde la versión de Github, que contiene la clave SHA-256 para cada archivo. Por ejemplo, para la versión 1.51.1, descarga el archivo1.51.1 checksums.txt.Abre el archivo
checksums.txty copia el texto listado a la izquierda del paquete que descargaste. Por ejemplo, si descargastemongodb-atlas-cli_1.51.1_windows_x86_64.zip, copia el texto a la izquierda demongodb-atlas-cli_1.51.1_windows_x86_64.zip. Este valor es el valor de clave SHA-256.Guarda el valor de la clave SHA-256 en un archivo
.txtllamadoatlas-cli-keyen tu carpeta Descargas.
Compare el archivo de firmas con el hash del instalador de Atlas CLI.
Ejecute el comando de Powershell para verificar el paquete según el archivo descargado.
Si descargaste mongodb-atlas-cli_1.51.1_windows_x86_64.zip, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.51.1_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Si descargaste mongodb-atlas-cli_1.51.1_windows_x86_64.msi, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.51.1_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
El comando devuelve el valor clave del archivo de firma, el valor clave del paquete descargado y True si los dos valores coinciden.
Si los dos valores coinciden, se verifica el binario de Atlas CLI.
Verificar imágenes de contenedores Docker
Puedes usar Cosign para verificar la firma de MongoDB en las imágenes de contenedor de Atlas CLI.
Para verificar la firma del contenedor de MongoDB, realice los siguientes pasos:
Descargar e instalar Cosign.
Ejemplo: MacOS
brew install cosign
Para obtener instrucciones completas de instalación, consulta Cosign.
Verifica la firma.
Ejecute el siguiente comando para verificar la firma mediante la etiqueta:
COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]