Atlas CLI パッケージの整合性を検証
Atlas CLI リリースチームは、特定のパッケージが有効で、改変されていないことを証明するために、すべてのソフトウェア パッケージとコンテナ イメージにデジタル署名しています。 Linux、Windows、または Docker 用の Atlas CLI パッケージをインストールする前に、提供されている PGP 署名、SHA-256 チェックサム値、または Cosign を使用してパッケージを検証する必要があります。 情報。
Linux パッケージの検証
MongoDB は、各リリース ブランチに異なる PGP キーで署名します。 最新の Atlas CLI リリースの公開キー ファイルは、キー サーバーからダウンロードできます。
次の手順では、Atlas CLI パッケージを PGP キーに対して検証します。
Atlas CLI のインストール ファイルをダウンロードします。
Linux 環境に応じて、 MongoDB ダウンロード センターから Atlas CLI バイナリをダウンロードします。 Copy linkをクリックし、その URL を次の手順で使用します。
たとえば、shell 経由で Linux 用の 1.31.0
リリースをダウンロードするには、次のコマンドを実行します。
curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.31.0_linux_x86_64.tar.gz
Atlas CLI インストール ファイルを検証します。
以下のコマンドを実行して、インストール ファイルを検証します。
gpg --verify mongodb-atlas-cli_1.31.0_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.31.0_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]
パッケージが適切に署名されているが、現在署名キーを信頼していない場合、 gpg
は次のメッセージも返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Windows パッケージの検証
次の手順では、Atlas CLI パッケージを SHA- 256キーに対して検証します。
Atlas CLI のインストール ファイルをダウンロードします。
MongoDB ダウンロード センター または Github から Atlas CLI.msi
または ファイルをダウンロードします。.zip
公開署名を保存します。
checksums.txt
Github からリリースの ファイルをダウンロード256 、各ファイルの SHA- キーが含まれます。たとえば、バージョン1の場合は 。 31 。 0 、 をダウンロードします。1 31。0 checkpoints.txt ファイルchecksums.txt
ファイルを開き、ダウンロードしたパッケージの左側にリストされているテキストをコピーします。 たとえば、mongodb-atlas-cli_1.31.0_windows_x86_64.zip
をダウンロードした場合は、mongodb-atlas-cli_1.31.0_windows_x86_64.zip
の左側にテキストをコピーします。 この値は、SHA- 256キー値です。SHA- 256キー値をダウンロード フォルダー内の
atlas-cli-key
という名前の.txt
ファイルに保存します。
署名ファイルを Atlas CLI インストール ハッシュと比較します。
Powershell コマンドを実行し、ダウンロードした ファイルに基づいてパッケージを検証します。
mongodb-atlas-cli_1.31.0_windows_x86_64.zip
をダウンロードした場合は、次のコマンドを実行します。
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.31.0_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
mongodb-atlas-cli_1.31.0_windows_x86_64.msi
をダウンロードした場合は、次のコマンドを実行します。
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.31.0_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
このコマンドは、署名ファイルのキー値、ダウンロードしたパッケージのキー値、2 つの値が一致する場合はTrue
を返します。
2 つの値が一致すると、Atlas CLI バイナリが検証されます。
Docker コンテナ イメージの検証
Cosign を使用できます を使用して、Atlas CLI コンテナ イメージの MongoDB 署名を検証します。
MongoDB コンテナの署名を検証するには、次の手順を実行します。
Cosign をダウンロードしてインストールします。
例: MacOS
brew install cosign
インストール手順について詳しくは、「 Cosign 」を参照してください。
署名を検証します。
次のコマンドを実行して、タグで署名を検証します。
COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]