Menu Docs
Página inicial do Docs
/ /
Atlas CLI
/

Verificar a integridade dos pacotes do Atlas CLI

Nesta página

  • Verificar pacotes Linux
  • Verificar Pacotes do Windows
  • Verificar imagens de contêiner do Docker

A equipe de lançamento do Atlas CLI assina digitalmente todos os pacotes de software e imagens de container para certificar que um pacote específico é válido e inalterado. Antes de instalar os pacotes Atlas CLI para Linux, Windows ou Docker, você deve validar o pacote usando a assinatura PGP fornecida, SHA-256 checksum ou Cosign informações.

O MongoDB assina cada ramificação de versão com uma chave PGP diferente. Os arquivos de chave pública para a versão mais recente do Atlas CLI estão disponíveis para download no servidor de chave.

O procedimento a seguir verifica o pacote Atlas CLI em relação à sua chave PGP.

1

Baixe os binários do Atlas CLI a partir do Centro de Download MongoDB com base em seu ambiente Linux. Clique Copy link e use o URL nas instruções a seguir.

Por exemplo, para fazer download da versão 1.32.0 para Linux por meio do shell, execute o seguinte comando:

curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz
2

Execute o seguinte comando para baixar o arquivo:

curl -LO https://fastdl.mongodb.org/mongocli/mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz.sig
3

Execute o comando a seguir para baixar e importar o arquivo de chave:

curl -LO https://pgp.mongodb.com/atlas-cli.asc
gpg --import atlas-cli.asc
gpg: key <key-value-short>: public key "Atlas CLI Release Signing Key <packaging@mongodb.com>" imported
gpg: Total number processed: 1
gpg: imported: 1
4

Execute o comando a seguir para verificar o arquivo de instalação:

gpg --verify mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz.sig mongodb-atlas-cli_1.32.0_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT
gpg: using RSA key <key-value-long>
gpg: Good signature from "Atlas CLI Release Signing Key <packaging@mongodb.com>" [unknown]

Se o pacote estiver assinado corretamente, mas no momento você não confia na chave de assinatura, gpg também retornará a seguinte mensagem:

gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.

O procedimento a seguir verifica o pacote Atlas CLI em relação à sua chave SHA-256.

1

Baixe o arquivo Atlas CLI .msi .zip ou a partir do Centro de Download do MongoDB ou do Github.

2
  1. Baixe o checksums.txt arquivo para a versão no Github, que contém a256 chave SHA- para cada arquivo. Por exemplo, para a versão 1.32.0, baixar o 1.32.0 arquivo checksums.txt.

  2. Abra o arquivo checksums.txt e copie o texto listado à esquerda do pacote que você baixou. Por exemplo, se você baixou mongodb-atlas-cli_1.32.0_windows_x86_64.zip, copie o texto à esquerda de mongodb-atlas-cli_1.32.0_windows_x86_64.zip. Este valor é o valor da chave SHA-256 .

  3. Salve o valor da chave SHA-256 em um arquivo .txt chamado atlas-cli-key na sua pasta Downloads.

3

Execute o comando Powershell para verificar o pacote com base no arquivo que você baixou.

Se você baixou o mongodb-atlas-cli_1.32.0_windows_x86_64.zip, execute o seguinte comando:

$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.32.0_windows_x86_64.zip).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash
<key-value-from-signature-file>
<key-value-from-downloaded-package>
True

Se você baixou o mongodb-atlas-cli_1.32.0_windows_x86_64.msi, execute o seguinte comando:

$sigHash = (Get-Content $Env:HomePath\Downloads\atlas-cli-key.txt | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-atlas-cli_1.32.0_windows_x86_64.msi).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash
<key-value-from-signature-file>
<key-value-from-downloaded-package>
True

O comando retorna o valor da chave do arquivo de assinatura, o valor da chave do pacote baixado e True se os dois valores corresponderem.

Se os dois valores corresponderem, o binário da Atlas CLI será verificado.

Você pode usar o Cosign para verificar a assinatura do MongoDB para imagens de contêiner Atlas CLI.

Para verificar a assinatura do contêiner do MongoDB, execute as seguintes etapas:

1

Exemplo: MacOS

brew install cosign

Para obter instruções completas de instalação,consulte Cosign.

2
curl https://cosign.mongodb.com/atlas-cli.pem > atlas-cli.pem
3

Execute o seguinte comando para verificar a assinatura por tag:

COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify --private-infrastructure --key=./atlas-cli.pem docker.io/mongodb/atlas:latest
Verification for index.docker.io/mongodb/atlas:latest --
The following checks were performed on each of these signatures:
- The cosign claims were validated
- The signatures were verified against the specified public key
[{"critical":{"identity":{"docker-reference":"index.docker.io/mongodb/atlas"},"image":{"docker-manifest-digest":"sha256:<key-value>"},"type":"cosign container image signature"},"optional":null}]

Voltar

Verificar compatibilidade