El equipo de lanzamiento de la MongoDB CLI firma digitalmente todos los paquetes de software e imágenes de contenedores para certificar que un paquete en particular es válido y no ha sido modificado. Antes de instalar los paquetes de MongoDB CLI para Linux o Windows, debes validar el paquete utilizando la firma PGP proporcionada o la información de la suma de verificación SHA-256.
Verificar Paquetes de Linux
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de llave pública para la última versión de la CLI de MongoDB están disponibles para su descarga desde la servidor de claves.
El siguiente procedimiento verifica el paquete CLI de MongoDB con su clave PGP.
Descargue el archivo de instalación CLI de MongoDB.
Descargue los binarios de la CLI de MongoDB desde el Centro de descargas de MongoDB según su entorno Linux. Haga clic en Copy link y utilice la URL en las siguientes instrucciones.
Por ejemplo, para descargar el 2.0.7 lanzamiento para Linux a través del shell, ejecute el siguiente comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.7_linux_x86_64.tar.gz
Descarga e importa el archivo clave.
Ejecuta el siguiente comando para descargar e importar el archivo de clave:
curl -LO https://pgp.mongodb.com/mongodb-cli.asc gpg --import mongodb-cli.asc
gpg: key <key-value-short>: public key "MongoDB CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique el archivo de instalación CLI de MongoDB.
Ejecute el siguiente comando para verificar el archivo de instalación:
gpg --verify mongocli_2.0.7_linux_x86_64.tar.gz.sig mongocli_2.0.7_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "MongoDB CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está correctamente firmado, pero actualmente no confías en la clave de firma, gpg también devuelve el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verifica los paquetes de Windows
El siguiente procedimiento verifica el paquete de MongoDB CLI con su clave SHA-256.
Descargue el archivo de instalación CLI de MongoDB.
Descargue el archivo MongoDB CLI .msi o .zip desde el Centro de descargas de MongoDB o de Github.
Guardar la firma pública.
Descargue el archivo
checksums.txtde la versión de Github, que contiene la clave SHA-256 para cada archivo. Por ejemplo, para la versión 2.0.7, descarga el archivo2.0.7 checksums.txt.Abre el archivo
checksums.txty copia el texto listado a la izquierda del paquete que descargaste. Por ejemplo, si descargastemongocli_2.0.7_windows_x86_64.zip, copia el texto a la izquierda demongocli_2.0.7_windows_x86_64.zip. Este valor es el valor de clave SHA-256.Guarda el valor de la clave SHA-256 en un archivo
.txtllamadomongocli-keyen tu carpeta Descargas.
Compare el archivo de firma con el hash del instalador de MongoDB CLI.
Ejecute el comando de Powershell para verificar el paquete según el archivo descargado.
Si descargaste mongocli_2.0.7_windows_x86_64.zip, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Si descargaste mongocli_2.0.7_windows_x86_64.msi, ejecuta el siguiente comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
El comando devuelve el valor clave del archivo de firma, el valor clave del paquete descargado y True si los dos valores coinciden.
Si los dos valores coinciden, se verifica el binario CLI de MongoDB.