El equipo de lanzamiento de MongoDB firma digitalmente los paquetes de las Herramientas de Base de Datos para certificar que son una versión válida e inalterada de MongoDB. Antes de instalar las Herramientas de Base de Datos, puede usar la firma digital para validar el paquete.
Esta página describe cómo utilizar GPG para verificar paquetes de Linux.
Antes de comenzar
Si no tiene instaladas las herramientas de base de datos MongoDB, descargue los binarios de las herramientas de base de datos desde Centro de descargas.
Pasos
Importar la clave pública de MongoDB Database Tools
curl https://pgp.mongodb.com/server-Tools.asc | gpg --import
Si la clave se importa correctamente, el comando devuelve:
gpg: key 3132835C1D925D5B: public key "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Si ya has importado la clave, el comando devuelve:
gpg: key 3132835C1D925D5B: "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
Descargue la firma pública de MongoDB Database Tools
Para descargar la firma pública de Database Tools, ejecute el siguiente comando, reemplazando los valores de marcador de posición con su plataforma, arquitectura y versión de Database Tools:
curl -LO https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-<platform>-<architecture>-<version>.tgz.sig
Ejemplo
La siguiente URL contiene el archivo de firma para Database Tools en Amazon Linux 2, versión 100.14.1:
https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-amazon2-x86_64-100.14.1.tgz.sig
Verificar el paquete
gpg --verify <path_to_signature_file> <path_to_db_tools_executable>
Si el paquete está firmado por MongoDB, el comando devuelve:
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: Good signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado pero la clave de firma no se ha añadido a tu trustdb local, el comando devuelve:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Si el paquete no está firmado correctamente, el comando devuelve un mensaje de error:
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: BAD signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]