Verifica la integridad de los paquetes de la CLI de MongoDB

Descarga el archivo de instalación de la CLI de MongoDB.

Descargue los archivos binarios de la CLI de MongoDB desde el Centro de descargas de MongoDB según su entorno Linux. Haga clic Copy link y utilice la URL en las instrucciones siguientes.

Por ejemplo, para descargar el 2.0.7 lanzamiento para Linux a través del shell, ejecute el siguiente comando:

curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.7_linux_x86_64.tar.gz

Descargue el archivo de firma pública.

Ejecuta el siguiente comando para descargar el archivo:

curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.7_linux_x86_64.tar.gz.sig

Descarga e importa el archivo clave.

Ejecuta el siguiente comando para descargar e importar el archivo de clave:

curl -LO https://pgp.mongodb.com/mongodb-cli.asc
gpg --import mongodb-cli.asc

gpg: key <key-value-short>: public key "MongoDB CLI Release Signing Key <packaging@mongodb.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

Verifique el archivo de instalación de la CLI de MongoDB.

Ejecute el siguiente comando para verificar el archivo de instalación:

gpg --verify mongocli_2.0.7_linux_x86_64.tar.gz.sig mongocli_2.0.7_linux_x86_64.tar.gz

gpg: Signature made Thu Mar 14 08:25:00 2024 EDT
gpg:                using RSA key <key-value-long>
gpg: Good signature from "MongoDB CLI Release Signing Key <packaging@mongodb.com>" [unknown]

Si el paquete está correctamente firmado, pero actualmente no confías en la clave de firma, gpg también devuelve el siguiente mensaje:

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.

Descarga el archivo de instalación de la CLI de MongoDB.

Descargue el archivo MongoDB CLI .msi o .zip desde el Centro de descargas de MongoDB o de Github.

Guardar la firma pública.

1. Descargue el archivo checksums.txt de la versión de Github, que contiene la clave SHA-256 para cada archivo. Por ejemplo, para la versión 2.0.7, descarga el archivo2.0.7 checksums.txt.

2. Abre el archivo checksums.txt y copia el texto listado a la izquierda del paquete que descargaste. Por ejemplo, si descargaste mongocli_2.0.7_windows_x86_64.zip, copia el texto a la izquierda de mongocli_2.0.7_windows_x86_64.zip. Este valor es el valor de clave SHA-256.

3. Guarda el valor de la clave SHA-256 en un archivo .txt llamado mongocli-key en tu carpeta Descargas.

Compare el archivo de firma con el hash del instalador de MongoDB CLI.

Ejecute el comando de Powershell para verificar el paquete según el archivo descargado.

Si descargaste mongocli_2.0.7_windows_x86_64.zip, ejecuta el siguiente comando:

$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.zip).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash

<key-value-from-signature-file>
<key-value-from-downloaded-package>
True

Si descargaste mongocli_2.0.7_windows_x86_64.msi, ejecuta el siguiente comando:

$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.7_windows_x86_64.msi).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash

<key-value-from-signature-file>
<key-value-from-downloaded-package>
True

El comando devuelve el valor clave del archivo de firma, el valor clave del paquete descargado y True si los dos valores coinciden.

Si los dos valores coinciden, el archivo binario MongoDB CLI está verificado.