El equipo de lanzamiento de MongoDB firma digitalmente los paquetes de Database Tools para certificar que los paquetes son una versión válida y sin alteraciones de MongoDB. Antes de instalar los Database Tools, puedes utilizar la firma digital para validar el paquete.
Esta página describe cómo usar GPG para verificar paquetes de Linux.
Antes de comenzar
Si no tienes instaladas las herramientas de base de datos de MongoDB, descarga los binarios de Database Tools desde Centro de descarga.
Pasos
Importar la clave pública de MongoDB Database Tools
curl https://pgp.mongodb.com/server-Tools.asc | gpg --import
Si la clave se importa correctamente, el comando devuelve:
gpg: key 3132835C1D925D5B: public key "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Si has importado anteriormente la clave, el comando devuelve:
gpg: key 3132835C1D925D5B: "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
Descargue la firma pública de MongoDB Database Tools
Para descargar la firma pública de Database Tools, ejecuta el siguiente comando y remplaza los valores de marcador de posición por tu plataforma, arquitectura y versión de Database Tools:
curl -LO https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-<platform>-<architecture>-<version>.tgz.sig
Ejemplo
La siguiente URL contiene el archivo de firma para Database Tools en Amazon Linux 2, versión 100.15.0:
https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-amazon2-x86_64-100.15.0.tgz.sig
Verificar el paquete
gpg --verify <path_to_signature_file> <path_to_db_tools_executable>
Si MongoDB firma el paquete, el comando devuelve:
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: Good signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado pero la clave de firma no se ha añadido a tu trustdb local, el comando devuelve:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Si el paquete no está debidamente firmado, el comando devuelve un mensaje de error:
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: BAD signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]