GPG を使用したパッケージの検証(Linux)
MongoDBリリースチームは、パッケージが有効で、改変されていないMongoDBリリースであることを証明するために、Database Toolsパッケージにデジタル署名しています。 Database Toolsをインストールする前に、デジタル署名を使用してパッケージを検証できます。
このページでは、GPG を使用してLinuxパッケージを検証する方法について説明します。
始める前に
MongoDB Database Tools がインストールされていない場合は、ダウンロード センターからDatabase Tools のバイナリをダウンロードします。
手順
MongoDB Database Tools公開キーをインポートする
curl https://pgp.mongodb.com/server-Tools.asc | gpg --import
キーが正常にインポートされると、コマンドは以下を返します。
gpg: key 3132835C1D925D5B: public key "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
以前にキーをインポートしたことがある場合、コマンドは次を返します。
gpg: key 3132835C1D925D5B: "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
MongoDB Database Tools公開署名をダウンロード
Database Tools の公開署名をダウンロードするには、次のコマンドを実行して、プレースホルダー値をご使用のプラットフォーム、アーキテクチャ、およびDatabase Tools のバージョンに置き換えます。
curl -LO https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-<platform>-<architecture>-<version>.tgz.sig
例
次のURLには、 Amazon Linux 2、バージョン 100.10.0 上のDatabase Toolsの署名ファイルが含まれています。
https://s3.amazonaws.com/downloads.mongodb.org/tools/db/mongodb-database-tools-amazon2-x86_64-100.10.0.tgz.sig
パッケージを検証します
gpg --verify <path_to_signature_file> <path_to_db_tools_executable>
パッケージが MongoDB によって署名されている場合、コマンドは以下を返します。
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: Good signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]
パッケージが署名されているが、署名キーがローカルのtrustdbに追加されていない場合、コマンドは次を返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
パッケージが適切に署名されていない場合、コマンドはエラーメッセージを返します。
gpg: Signature made Wed 19 Feb 2025 02:19:15 PM EST gpg: using RSA key D4E45C292A5C94962F0D10E13132835C1D925D5B gpg: BAD signature from "MongoDB CLI Tools Release Signing Key <packaging@mongodb.com>" [unknown]