MongoDB CLI 패키지의 무결성 확인
이 페이지의 내용
MongoDB CLI 릴리스 팀은 모든 소프트웨어 패키지와 컨테이너 이미지에 디지털 서명을 하여 특정 패키지가 유효하고 변경되지 않았음을 증명합니다. Linux 또는 Windows용 MongoDB CLI 패키지를 설치하기 전에 제공된 PGP 서명 또는 SHA-256 체크섬 정보를 사용하여 패키지의 유효성을 검사해야 합니다.
Linux 패키지 확인
MongoDB는 각 릴리스 브랜치에 서로 다른 PGP 키로 서명합니다. 최신 MongoDB CLI 릴리스의 공개 키 파일은 키 서버 에서 다운로드할 수 있습니다.
다음 절차에서는 PGP 키와 비교하여 MongoDB CLI 패키지 를 확인합니다.
MongoDB CLI 설치 파일을 다운로드합니다.
Linux 환경을 기반으로 MongoDB 다운로드 센터 에서 MongoDB CLI 바이너리를 다운로드합니다. Copy link 를 클릭하고 다음 지침에 따라 URL을 사용합니다.
예를 들어 2.0.1
Linux 을 통해 릴리스를 다운로드하려면 shell 다음 명령을 실행합니다.
curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.1_linux_x86_64.tar.gz
MongoDB CLI 설치 파일을 확인합니다.
다음 명령을 실행해 설치 파일을 확인합니다.
gpg --verify mongocli_2.0.1_linux_x86_64.tar.gz.sig mongocli_2.0.1_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "MongoDB CLI Release Signing Key <packaging@mongodb.com>" [unknown]
패키지가 제대로 서명되었지만 현재 서명 키를 신뢰하지 않는 경우 gpg
(이)가 다음 메시지도 반환합니다.
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Windows 패키지 확인
다음 절차에서는 SHA-256 키와 비교하여 MongoDB CLI 패키지 를 확인합니다.
MongoDB CLI 설치 파일을 다운로드합니다.
MongoDB 다운로드 센터 또는 Github에서 MongoDB CLI .msi
또는 .zip
파일을 다운로드합니다.
공개 서명을 저장합니다.
Github
checksums.txt
에서 릴리스에 대한 파일을256 다운로드합니다. , 각 파일에 대한 SHA- 키가 포함되어 있습니다. 예를 들어 버전 2 입니다.0.1, 를 다운로드합니다.2.0 checksums.txt 파일.1checksums.txt
파일을 열고 다운로드한 패키지 왼쪽에 나열된 텍스트를 복사합니다. 예를 들어mongocli_2.0.1_windows_x86_64.zip
을 다운로드한 경우mongocli_2.0.1_windows_x86_64.zip
왼쪽에 있는 텍스트를 복사합니다. 이 값은 SHA-256 키 값입니다.SHA-256 키 값을 다운로드 폴더의
mongocli-key
이름의.txt
파일에 저장합니다.
서명 파일을 MongoDB CLI 설치 프로그램 해시와 비교합니다.
Powershell 명령을 실행하여 다운로드한 파일을 기반으로 패키지를 확인합니다.
mongocli_2.0.1_windows_x86_64.zip
을 다운로드한 경우 다음 명령을 실행합니다.
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.1_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
mongocli_2.0.1_windows_x86_64.msi
을 다운로드한 경우 다음 명령을 실행합니다.
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.1_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
이 명령은 서명 파일의 키 값과 다운로드한 패키지의 키 값을 반환하고, 두 값이 일치하면 True
를 반환합니다.
두 값이 일치하면 MongoDB CLI 바이너리가 확인됩니다.