GPG によるパッケージの検証(Linux と macOS)
MongoDB リリースチームは、パッケージが有効で、改変されていない MongoDB リリースであることを証明するために、MongoDB Shell パッケージにデジタル署名しています。 MongoDB Shell をインストールする前に、デジタル署名を使用してパッケージを検証できます。
このページでは、GPG を使用して Linux と macOS パッケージを検証する方法について説明します。
始める前に
MongoDB Shell がインストールされていない場合は、 ダウンロード センターから MongoDB Shell バイナリをダウンロードします。
手順
1
MongoDB Shell 公開鍵をインポートする
curl https://pgp.mongodb.com/mongosh.asc | gpg --import
キーが正常にインポートされると、コマンドは以下を返します。
gpg: key CEED0419D361CB16: public key "Mongosh Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
以前にキーをインポートしたことがある場合、コマンドは次を返します。
gpg: key A8130EC3F9F5F923: "Mongosh Release Signing Key <packaging@mongodb.com>" not changed gpg: Total number processed: 1 gpg: unchanged: 1
2
MongoDB Shell の公開署名のダウンロード
MongoDB Shell公開署名をダウンロードするには、Go mongoshリリース Githubに.sig します のページにアクセスして、バージョンとバリアントに対応する ファイルをダウンロードします。
たとえば、 mongodb-mongosh_2.3.2_amd64.debを実行している場合は、 mongodb-mongosh_2.3.2_amd64.deb.sigをダウンロードします
注意
署名をダウンロードするときに、 Githubリリース ページで正しいバージョンを選択していることを確認してください。
3
パッケージを検証します
gpg --verify <path_to_signature_file> <path_to_mongosh_executable>
パッケージが MongoDB によって署名されている場合、コマンドは以下を返します。
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: Good signature from "Mongosh Release Signing Key <packaging@mongodb.com>" [unknown]
パッケージが署名されているが、署名キーがローカルのtrustdbに追加されていない場合、コマンドは次を返します。
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
パッケージが適切に署名されていない場合、コマンドはエラーメッセージを返します。
gpg: Signature made Mon Jan 22 10:22:53 2024 CET gpg: using RSA key AB1B92FFBE0D3740425DAD16A8130EC3F9F5F923 gpg: BAD signature from "Mongosh Release Signing Key <packaging@mongodb.com>" [unknown]