MongoDBリリースチームは、パッケージが有効で、改変されていないMongoDBリリースであることを証明するために、mongosync パッケージにデジタル署名しています。mongosync をインストールする前に、デジタル署名を使用してパッケージを検証できます。
このページでは、GPG を使用してLinuxパッケージを検証する方法について説明します。
始める前に
mongosync がインストールされていない場合は、ダウンロード センターから mongosyncパッケージをダウンロードします。
手順
1
MongoDB Serverツール公開キーをインポートする
curl https://pgp.mongodb.com/server-Tools.asc | gpg --import
キーが正常にインポートされると、コマンドは以下を返します。
gpg: key 3132835C1D925D5B: public key "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
以前にキーをインポートしたことがある場合、コマンドは次を返します。
gpg: key 3132835C1D925D5B: "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
2
mongosync 公開署名をダウンロード
mongosync 公開署名をダウンロードするには、次のコマンドを実行して、プレースホルダー値を 1 つのプラットフォーム、アーキテクチャ、mongosync バージョンに置き換えます。
curl -LO https://s3.amazonaws.com/downloads.mongodb.org/tools/mongosync/mongosync-<platform>-<architecture>-<version>.tgz.sig
例
次のURLには、 Amazon Linux 2、バージョン 1.9.0 上の mongosync の署名ファイルが含まれています。
https://s3.amazonaws.com/downloads.mongodb.org/tools/mongosync/mongosync-amazon2-x86_64-1.9.0.tgz.sig
3
パッケージを検証します
gpg --verify <path_to_signature_file> <path_to_mongosync_package>
パッケージが MongoDB によって署名されている場合、コマンドは以下を返します。
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: Good signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]
パッケージが署名されているが、署名キーがローカルのtrustdbに追加されていない場合、コマンドは次を返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
パッケージが適切に署名されていない場合、コマンドはエラーメッセージを返します。
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: BAD signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]