El equipo de lanzamiento de MongoDB firma digitalmente todos los paquetes de software para certificar que un paquete de MongoDB en particular es un lanzamiento válido y sin modificaciones. Antes de instalar MongoDB, debes validar el paquete usando la firma PGP proporcionada o la suma de verificación SHA-256.
Las firmas PGP proporcionan las garantías más sólidas al verificar tanto la autenticidad como la integridad de un archivo para evitar su manipulación.
Las sumas de comprobación criptográficas solo validan la integridad del archivo para evitar errores de transmisión de red.
Verificar paquetes de Linux/macOS
Utilice PGP/GPG
MongoDB firma cada rama de lanzamiento con una clave PGP diferente. Los archivos de clave pública de cada rama de lanzamiento están disponibles para su descarga desde
servidor de claves tanto en texto .asc y formatos binarios .pub.
Descargue el archivo de instalación de MongoDB.
Descargue los binarios del Centro de descargas de MongoDB según su entorno. Puede seleccionar diferentes plataformas y versiones en esa página. Haga clic en Copy link y utilice la URL en las siguientes instrucciones.
Por ejemplo, para descargar la versión 7.0.24 para macOS a través del shell, ejecute este comando:
curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.24.tgz
Para descargar la versión 7.0.24 para Linux a través del shell, ejecute este comando:
curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-7.0.24.tgz
Descargue y luego importe el archivo clave.
Si no ha descargado e importado la clave pública MongoDB 7.0, ejecute estos comandos:
curl -LO https://pgp.mongodb.com/server-7.0.asc gpg --import server-7.0.asc
PGP debería devolver esta respuesta:
gpg: key 160D26BB1785BA38: "MongoDB 7.0 Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique el archivo de instalación de MongoDB.
Para MacOS, ejecute este comando:
gpg --verify mongodb-macos-x86_64-7.0.24.tgz.sig mongodb-macos-x86_64-7.0.24.tgz
Para Linux, ejecuta este comando, utilizando el nombre de archivo correcto para tu plataforma:
gpg --verify mongodb-linux-x86_64-ubuntu2204-7.0.24.tgz.sig mongodb-linux-x86_64-ubuntu2204-7.0.24.tgz
GPG debería devolver esta respuesta:
gpg: Signature made Wed Jun 5 03:17:20 2019 EDT gpg: using RSA key 160D26BB1785BA38 gpg: Good signature from "MongoDB 7.0 Release Signing Key <packaging@mongodb.com>" [unknown]
Si el paquete está firmado correctamente, pero actualmente no confía en la clave de firma en su trustdb local, gpg también devolverá el siguiente mensaje:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: E162 F504 A20C DF15 827F 718D 4B7C 549A 058F 8B6B
Si recibe el siguiente mensaje de error, confirme que haya importado la clave pública correcta:
gpg: Can't check signature: public key not found
Utilice SHA-256
Descargue el archivo de instalación de MongoDB.
Descargue los binarios del Centro de descargas de MongoDB según su entorno. Puede seleccionar diferentes plataformas y versiones en esa página. Click Copy enlace y use la URL en las siguientes instrucciones.
Por ejemplo, para descargar la versión 7.0.24 para macOS a través del shell, escriba este comando:
curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.24.tgz
Para descargar la versión 7.0.24 para Linux a través del shell, ejecute este comando:
curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz
Descargue el archivo SHA256.
Para descargar el archivo SHA256 para macOS a través del shell, ejecute este comando con la URL deseada, más .sha256:
curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.24.tgz.sha256
Para descargar el archivo SHA256 para Linux a través del shell, ejecute este comando con la URL deseada, más .sha256:
curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz.sha256
Utiliza la suma de comprobación SHA-256 para verificar el archivo del paquete MongoDB.
Calcule la suma de comprobación del archivo del paquete que descargó:
shasum -c mongodb-macos-x86_64-7.0.24.tgz.sha256
que debería devolver lo siguiente si la suma de comprobación coincide con el paquete descargado:
mongodb-macos-x86_64-7.0.24.tgz: OK
Verifica los paquetes de Windows
El siguiente procedimiento verifica el binario de MongoDB con su clave SHA256.
Download the installer.
Descargue el instalador de MongoDB .msi. Por ejemplo, para descargar la última versión de MongoDB Community Edition:
➤ Centro de descargas de la comunidad MongoDB
En el menú desplegable Version, selecciona
7.0.24 (current release).En el menú desplegable Platform, selecciona Windows.
En el menú desplegable Package, selecciona msi.
Haz clic en Download y guarda el archivo en tu carpeta de Descargas.
Obtén el archivo de firma pública.
Obtenga el archivo de firma pública para su versión de MongoDB.
Por ejemplo, para la firma SHA256 de la última versión de MongoDB Community Edition:
Desde https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-7.0.24-signed.msi.sha256, copia el contenido.
Guarde el contenido en un archivo
mongodb-windows-x86_64-7.0.24-signed.msi.sha256en su carpeta de Descargas.
Compare el archivo de firma con el hash del instalador de MongoDB.
Para comparar el archivo de firma con el hash del binario de MongoDB, invoque este script de PowerShell:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongodb-windows-x86_64-7.0.24-signed.msi.sha256 | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-windows-x86_64-7.0.24-signed.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473 C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473 True
El comando genera tres líneas:
Un hash
SHA256que descargaste directamente desde MongoDB.Un hash
SHA256calculado a partir del binario MongoDB que descargaste de MongoDB.Un resultado
TrueoFalsedependiendo de si los valores hash coinciden.
Si los hashes coinciden, se verifica el binario de MongoDB.