El equipo de lanzamiento de MongoDB firma digitalmente los paquetes de MongoDB Shell para certificar que son una versión válida e inalterada de MongoDB. Antes de instalar MongoDB Shell, puede usar la firma digital para validar el paquete.
Esta página describe cómo usar GPG para verificar paquetes de Linux y macOS.
Antes de comenzar
Si no tiene instalado MongoDB Shell, descargue el binario de MongoDB Shell desde Centro de descargas.
Pasos
Importar la clave pública de MongoDB Shell
curl https://pgp.mongodb.com/mongosh.asc | gpg --import
Si la clave se importa correctamente, el comando devuelve:
gpg: key CEED0419D361CB16: public key "Mongosh Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Si ya has importado la clave, el comando devuelve:
gpg: key A8130EC3F9F5F923: "Mongosh Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
Descargar la firma pública de MongoDB Shell
Para descargar la firma pública de MongoDB Shell, vaya a Mongosh Releases página en GitHub y descargar el correspondiente .sig archivo para su versión y variante.
Por ejemplo, si está ejecutando mongodb-mongosh_2.6.0_amd64.deb, descargue mongodb-mongosh_2.6.0_amd64.deb.sig
Nota
Asegúrese de seleccionar la versión correcta en la página de versiones de GitHub cuando descargue la firma.
Verificar el paquete
gpg --verify <path_to_signature_file> <path_to_mongosh_executable>
Si el paquete está firmado por MongoDB, el comando devuelve:
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: Good signature from "Mongosh Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado pero la clave de firma no se ha añadido a tu trustdb local, el comando devuelve:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Si el paquete no está firmado correctamente, el comando devuelve un mensaje de error:
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "Mongosh Release Signing Key <packaging@mongodb.com>" [unknown]