Verificar a integridade dos pacotes do Atlas CLI
Nesta página
A equipe de lançamento do Atlas CLI assina digitalmente todos os pacotes de software e imagens de container para certificar que um pacote específico é válido e inalterado. Antes de instalar os pacotes Atlas CLI para Linux, Windows ou Docker, você deve validar o pacote usando a assinatura PGP fornecida, SHA-256 checksum ou Cosign informações.
Verificar pacotes Linux
O MongoDB assina cada ramificação de versão com uma chave PGP diferente. Os arquivos de chave pública para a versão mais recente do Atlas CLI estão disponíveis para download no servidor de chave.
O procedimento a seguir verifica o pacote Atlas CLI em relação à sua chave PGP.
Baixe o arquivo de instalação do Atlas CLI.
Baixe os binários do Atlas CLI a partir do Centro de Download MongoDB com base em seu ambiente Linux. Clique Copy link e use o URL nas instruções a seguir.
Por exemplo, para fazer download da versão 1.32.0
para Linux por meio do shell, execute o seguinte comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz
Baixe e importe o arquivo de chave.
Execute o comando a seguir para baixar e importar o arquivo de chave:
curl -LO https://pgp.mongodb.com/atlas-cli.asc gpg --import atlas-cli.asc
gpg: key <key-value-short>: public key "Atlas CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique o arquivo de instalação do Atlas CLI.
Execute o comando a seguir para verificar o arquivo de instalação:
gpg --verify mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Se o pacote estiver assinado corretamente, mas no momento você não confia na chave de assinatura, gpg
também retornará a seguinte mensagem:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verificar Pacotes do Windows
O procedimento a seguir verifica o pacote Atlas CLI em relação à sua chave SHA-256.
Baixe o arquivo de instalação do Atlas CLI.
Baixe o arquivo Atlas CLI .msi
.zip
ou a partir do Centro de Download do MongoDB ou do Github.
Salve a assinatura pública.
Baixe o
checksums.txt
arquivo para a versão no Github, que contém a256 chave SHA- para cada arquivo. Por exemplo, para a versão 1.32.0, baixar o 1.32.0 arquivo checksums.txt.Abra o arquivo
checksums.txt
e copie o texto listado à esquerda do pacote que você baixou. Por exemplo, se você baixoumongodb-atlas-cli_1.32.0_windows_x86_64.zip
, copie o texto à esquerda demongodb-atlas-cli_1.32.0_windows_x86_64.zip
. Este valor é o valor da chave SHA-256 .Salve o valor da chave SHA-256 em um arquivo
.txt
chamadoatlas-cli-key
na sua pasta Downloads.
Compare o arquivo de assinatura com o hash do instalador do Atlas CLI.
Execute o comando Powershell para verificar o pacote com base no arquivo que você baixou.
Se você baixou o mongodb-atlas-cli_1.32.0_windows_x86_64.zip
, execute o seguinte comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.32.0_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Se você baixou o mongodb-atlas-cli_1.32.0_windows_x86_64.msi
, execute o seguinte comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.32.0_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
O comando retorna o valor da chave do arquivo de assinatura, o valor da chave do pacote baixado e True
se os dois valores corresponderem.
Se os dois valores corresponderem, o binário da Atlas CLI será verificado.
Verificar imagens de contêiner do Docker
Você pode usar o Cosign para verificar a assinatura do MongoDB para imagens de contêiner Atlas CLI.
Para verificar a assinatura do contêiner do MongoDB, execute as seguintes etapas:
Baixe e instale o Cosign.
Exemplo: MacOS
brew install cosign
Para obter instruções completas de instalação,consulte Cosign.
Verificar a assinatura.
Execute o seguinte comando para verificar a assinatura por tag:
COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]