Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/
Gestión
/
Instalación
Docs Home
/
Gestión
/
Instalación
Docs Home
/
Gestión
/
Instalación

Verificar la integridad de los paquetes de MongoDB

Importante

MongoDB 8.2 es la última versión menor. A partir de MongoDB 8.2, las versiones menores están disponibles para implementaciones on-premises (MongoDB Community y Enterprise) para casos de uso específicos. Para obtener más información, consulta Versionado de MongoDB.

Para instalar la última versión de MongoDB compatible para uso on-premises, consulta las instrucciones de instalación.

El equipo de lanzamiento de MongoDB firma digitalmente todos los paquetes de software para certificar que un paquete de MongoDB en particular es un lanzamiento válido y sin modificaciones. Antes de instalar MongoDB, debes validar el paquete usando la firma PGP proporcionada o la suma de verificación SHA-256.

Las firmas PGP proporcionan las garantías más fuertes al comprobar tanto la autenticidad como la integridad de un archivo para evitar manipulaciones.

Las sumas de comprobación criptográficas solo validan la integridad del archivo para evitar errores de transmisión de red.

Verificar paquetes de Linux/macOS

Utiliza PGP/GPG

MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de clave pública de cada rama de lanzamiento están disponibles para su descarga desde servidor de claves en ambos sistemas textuales .asc y formatos binarios .pub.

1

Descargue el archivo de instalación de MongoDB.

Descarga los binarios del Centro de descargas de MongoDB según tu entorno. Puedes seleccionar diferentes plataformas y versiones en esa página. Haga clic Copy link y utilice la URL en las siguientes instrucciones.

Por ejemplo, para descargar la versión 8.2.0 para macOS desde la shell, ejecuta este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-8.2.0.tgz

Para descargar la versión 8.2.0 para Linux a través del shell, ejecute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-8.2.0.tgz
2

Descargue el archivo de firma pública.

Para MacOS, ejecuta este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-8.2.0.tgz.sig

Para Linux, ejecute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-8.2.0.tgz.sig
3

Descarga y luego importa el archivo clave.

La descarga del paquete MongoDB 8.2 se verifica usando la clave pública de MongoDB 8.0. Si no ha descargado e importado la llave pública de MongoDB 8.0, ejecute estos comandos:

curl -LO https://pgp.mongodb.com/server-8.0.asc
gpg --import server-8.0.asc

PGP debería devolver esta respuesta:

gpg: key 4B7C549A058F8B6B: "MongoDB 8.0 Release Signing Key <packaging@mongodb.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1
4

Verifica el archivo de instalación de MongoDB.

Para MacOS, ejecuta este comando:

gpg --verify mongodb-macos-x86_64-8.2.0.tgz.sig mongodb-macos-x86_64-8.2.0.tgz

Para Linux, ejecuta este comando, utilizando el nombre de archivo correcto para tu plataforma:

gpg --verify mongodb-linux-x86_64-ubuntu2204-8.2.0.tgz.sig mongodb-linux-x86_64-ubuntu2204-8.2.0.tgz

GPG debería devolver esta respuesta:

gpg: Signature made Wed Jun  5 03:17:20 2019 EDT
gpg:                using RSA key 4B7C549A058F8B6B
gpg: Good signature from "MongoDB 8.0 Release Signing Key <packaging@mongodb.com>" [unknown]

Si el paquete está debidamente firmado, pero actualmente no confía en la clave de firma en su trustdb local, gpg también devolverá el siguiente mensaje :

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: E162 F504 A20C DF15 827F  718D 4B7C 549A 058F 8B6B

Si recibes el siguiente mensaje de error, verifica que hayas importado la clave pública correcta:

gpg: Can't check signature: public key not found

Usa SHA-256

1

Descargue el archivo de instalación de MongoDB.

Descargue los binarios desde Centro de descargas de MongoDB según su entorno. Puede seleccionar diferentes plataformas y versiones en esa página. enlace Click Copy y utiliza la URL en las siguientes instrucciones.

Por ejemplo, para descargar la versión 8.2.0 para macOS a través de la shell, escriba este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-8.2.0.tgz

Para descargar la versión 8.2.0 para Linux a través del shell, ejecute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz
2

Descargue el archivo SHA256.

Para descargar el archivo SHA256 para macOS mediante la shell, ejecuta este comando con la URL deseada, además de .sha256:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-8.2.0.tgz.sha256

Para descargar el archivo SHA256 para Linux a través del shell, ejecute este comando con la URL deseada, más .sha256:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz.sha256
3

Utiliza la suma de comprobación SHA-256 para verificar el archivo del paquete MongoDB.

Calcula la suma de verificación del archivo de paquete que descargaste:

shasum -c mongodb-macos-x86_64-8.2.0.tgz.sha256

que debe devolver lo siguiente si la suma de verificación coincide con el paquete descargado:

mongodb-macos-x86_64-8.2.0.tgz: OK

Verifica los paquetes de Windows

El siguiente procedimiento verifica el binario MongoDB contra su clave SHA256.

1

Download the installer.

Descargue el instalador de MongoDB..msi Por ejemplo, para descargar la última versión de MongoDB Community Edition, consulte el Centro de descargas de MongoDB Community.

  1. En el menú desplegable Version, selecciona 8.2.0 (current release).

  2. En el menú desplegable Platform, selecciona Windows.

  3. En el menú desplegable Package, selecciona msi.

  4. Haz clic en Download y guarda el archivo en tu carpeta de Descargas.

2

Obtén el archivo de firma pública.

Obtener el archivo de firma pública para tu versión de MongoDB.

Por ejemplo, para la firma SHA256 de la última versión de MongoDB Community Edition:

  1. Desde https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-8.2.0-signed.msi.sha256, copia el contenido.

  2. Guarde el contenido en un archivo mongodb-windows-x86_64-8.2.0-signed.msi.sha256 en su carpeta de Descargas.

3

Compara el archivo de firma con el hash del instalador de MongoDB.

Para comparar el archivo de firma con el hash del binario de MongoDB, invoca este script de Powershell:

$sigHash = (Get-Content $Env:HomePath\Downloads\mongodb-windows-x86_64-8.2.0-signed.msi.sha256 | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-windows-x86_64-8.2.0-signed.msi).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash
C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473
C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473
True

El comando produce tres líneas:

  • Un hash SHA256 que descargó directamente de MongoDB.

  • Un hash SHA256 calculado a partir del binario de MongoDB que descargó de MongoDB.

  • Un resultado True o False dependiendo de si los hashes coinciden.

Si los hashes coinciden, se verifica el binario de MongoDB.

Volver

Clúster fragmentado

Next

Verificar la integridad del paquete mongot

En esta página