Verifique a integridade dos pacotes MongoDB CLI
A equipe de lançamento do MongoDB CLI assina digitalmente todos os pacotes de software e imagens de container para certificar que um pacote específico é válido e inalterado. Antes de instalar os pacotes do MongoDB CLI para Linux ou Windows, você deve validar o pacote usando a assinatura PGP fornecida ou as informações de soma de verificação SHA-256 .
Verificar pacotes Linux
O MongoDB assina cada ramificação de versão com uma chave PGP diferente. Os arquivos de chave pública da versão mais recente da MongoDB CLI estão disponíveis para download noservidor de chaves .
O procedimento a seguir verifica o pacote MongoDB CLI em relação à sua chave PGP.
Baixe o arquivo de instalação do MongoDB CLI.
Baixe os binários do MongoDB CLI a partir do Centro de Download do MongoDB com base em seu ambiente Linux. Clique Copy link e use o URL nas instruções a seguir.
Por exemplo, para fazer download da versão 2.0.1 para Linux por meio do shell, execute o seguinte comando:
curl -LO https://fastdl.mongodb.org/mongocli/mongocli_2.0.1_linux_x86_64.tar.gz
Baixe e importe o arquivo de chave.
Execute o comando a seguir para baixar e importar o arquivo de chave:
curl -LO https://pgp.mongodb.com/mongodb-cli.asc gpg --import mongodb-cli.asc
gpg: key <key-value-short>: public key "MongoDB CLI Release Signing Key <packaging@mongodb.com>" imported gpg: Total number processed: 1 gpg: imported: 1
Verifique o arquivo de instalação da MongoDB CLI .
Execute o comando a seguir para verificar o arquivo de instalação:
gpg --verify mongocli_2.0.1_linux_x86_64.tar.gz.sig mongocli_2.0.1_linux_x86_64.tar.gz
gpg: Signature made Thu Mar 14 08:25:00 2024 EDT gpg: using RSA key <key-value-long> gpg: Good signature from "MongoDB CLI Release Signing Key <packaging@mongodb.com>" [unknown]
Se o pacote estiver assinado corretamente, mas no momento você não confia na chave de assinatura, gpg também retornará a seguinte mensagem:
gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner.
Verificar Pacotes do Windows
O procedimento a seguir verifica o pacote MongoDB CLI em relação à sua chave SHA-256 .
Baixe o arquivo de instalação do MongoDB CLI.
Baixe o arquivo MongoDB CLI .msi ou a .zip partir do Centro de Download do MongoDB ou Github.
Salve a assinatura pública.
Baixe o
checksums.txtarquivo para a versão no Github, que contém a256 chave SHA- para cada arquivo. Por exemplo, para a versão 2.0.1, baixar o 2.0.1 arquivo checksums.txt.Abra o arquivo
checksums.txte copie o texto listado à esquerda do pacote que você baixou. Por exemplo, se você baixoumongocli_2.0.1_windows_x86_64.zip, copie o texto à esquerda demongocli_2.0.1_windows_x86_64.zip. Este valor é o valor da chave SHA-256 .Salve o valor da chave SHA-256 em um arquivo
.txtchamadomongocli-keyna sua pasta Downloads.
Compare o arquivo de assinatura com o hash do instalador do MongoDB CLI.
Execute o comando Powershell para verificar o pacote com base no arquivo que você baixou.
Se você baixou o mongocli_2.0.1_windows_x86_64.zip, execute o seguinte comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.1_windows_x86_64.zip).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
Se você baixou o mongocli_2.0.1_windows_x86_64.msi, execute o seguinte comando:
$sigHash = (Get-Content $Env:HomePath\Downloads\mongocli-key.txt | Out-String).SubString(0,64).ToUpper(); ` $fileHash = (Get-FileHash $Env:HomePath\Downloads\mongocli_2.0.1_windows_x86_64.msi).Hash.Trim(); ` echo $sigHash; echo $fileHash; ` $sigHash -eq $fileHash
<key-value-from-signature-file> <key-value-from-downloaded-package> True
O comando retorna o valor da chave do arquivo de assinatura, o valor da chave do pacote baixado e True se os dois valores corresponderem.
Se os dois valores corresponderem, o binário da MongoDB CLI será verificado.