El equipo de lanzamiento de MongoDB CLI firma digitalmente todos los paquetes de software e imágenes de contenedor para certificar su validez e inalteración. Antes de instalar los paquetes de MongoDB CLI para Linux o Windows, debe validarlos utilizando la firma PGP o la información de suma de comprobación SHA-256 proporcionada.
Verificar paquetes de Linux
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de clave pública de la última versión de MongoDB CLI están disponibles para su descarga desde servidor de claves.
El siguiente procedimiento verifica el paquete CLI de MongoDB con su clave PGP.
Descargue el archivo de instalación CLI de MongoDB.
Descargue los binarios de la CLI de MongoDB desde el Centro de descargas de MongoDB según su entorno Linux. Haga clic en Copy link y utilice la URL en las siguientes instrucciones.
Por ejemplo, para descargar el 2.0.7 Para liberar para Linux a través del shell, ejecute el siguiente comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.7_linux_x86_64.tar.gz
Descargue e importe el archivo clave.
Ejecute el siguiente comando para descargar e importar el archivo de clave:
curl -LO https://pgp.mongodb.com/mongodb-cli.asc gpg --import mongodb-cli.asc
gpg: key <key-value-short>: public key "MongoDB CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique el archivo de instalación CLI de MongoDB.
Ejecute el siguiente comando para verificar el archivo de instalación:
gpg --verify mongocli_2.0.7_linux_x86_64.tar.gz.sig mongocli_2.0.7_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "MongoDB CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado correctamente, pero actualmente no confía en la clave de firma, gpg también devuelve el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verifica los paquetes de Windows
El siguiente procedimiento verifica el paquete CLI de MongoDB con su clave SHA-256.
Descargue el archivo de instalación CLI de MongoDB.
Descargue el archivo CLI de MongoDB .msi .zip o del Centro de descargas de MongoDB o Github.
Guardar la firma pública.
Descargue el
checksums.txtarchivo de la versión desde Github, que contiene la256 clave SHA- de cada archivo. Por ejemplo, para la versión..,2 07descargue el 2 07 archivo checksums.txt...Abra el archivo
checksums.txty copie el texto a la izquierda del paquete que descargó. Por ejemplo, si descargómongocli_2.0.7_windows_x86_64.zip, copie el texto a la izquierda demongocli_2.0.7_windows_x86_64.zip. Este valor es la clave SHA-256.Guarde el valor de la clave SHA-256 en un archivo
.txtllamadomongocli-keyen su carpeta de Descargas.
Compare el archivo de firma con el hash del instalador CLI de MongoDB.
Ejecute el comando Powershell para verificar el paquete según el archivo que descargó.
Si descargaste mongocli_2.0.7_windows_x86_64.zip, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Si descargaste mongocli_2.0.7_windows_x86_64.msi, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
El comando devuelve el valor de la clave del archivo de firma, el valor de la clave del paquete descargado y True si los dos valores coinciden.
Si los dos valores coinciden, se verifica el binario CLI de MongoDB.