Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/ /

Verificar a integridade dos pacotes MongoDB

Nesta página

  • Verifique os pacotes Linux/macOS
  • Verificar Pacotes do Windows

A equipe de lançamento do MongoDB assina digitalmente todos os pacotes de software para certificar que um determinado pacote do MongoDB é uma versão válida e inalterada do MongoDB. Antes de instalar o MongoDB, você deve validar o pacote usando a assinatura PGP fornecida ou a soma de verificação SHA-256.

As assinaturas PGP fornecem as mais fortes garantias, verificando a autenticidade e a integridade de um arquivo para evitar violações.

As somas de verificação criptográficas validam somente a integridade do arquivo para evitar erros de transmissão de rede.

O MongoDB assina cada ramificação de lançamento com uma chave PGP diferente. Os arquivos de chave pública para cada ramificação de lançamento estão disponíveis para download noservidor de chaves nos formatos textual .asc e binário .pub .

1

Baixe os binários na Central de Download do MongoDB de acordo com seu ambiente. É possível selecionar diferentes plataformas e versões nessa página. Clique em Copy link e utilize a URL nas instruções a seguir.

Por exemplo, para baixar a versão 7.0.14 para macOS através da shell, execute este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.14.tgz

Para fazer download da versão 7.0.14 para Linux por meio do shell, execute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-7.0.14.tgz
2

Para MacOS, execute este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.14.tgz.sig

Para Linux, execute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-7.0.14.tgz.sig
3

Se você não baixou e importou a chave pública do MongoDB 7.0, execute estes comandos:

curl -LO https://pgp.mongodb.com/server-7.0.asc
gpg --import server-7.0.asc

O PGP deve devolver esta resposta:

gpg: key 160D26BB1785BA38: "MongoDB 7.0 Release Signing Key <packaging@mongodb.com>" imported
gpg: Total number processed: 1
gpg: imported: 1
4

Para MacOS, execute este comando:

gpg --verify mongodb-macos-x86_64-7.0.14.tgz.sig mongodb-macos-x86_64-7.0.14.tgz

Para Linux, execute este comando, usando o nome de arquivo correto para sua plataforma:

gpg --verify mongodb-linux-x86_64-ubuntu2204-7.0.14.tgz.sig mongodb-linux-x86_64-ubuntu2204-7.0.14.tgz

O GPG deve retornar essa resposta:

gpg: Signature made Wed Jun 5 03:17:20 2019 EDT
gpg: using RSA key 160D26BB1785BA38
gpg: Good signature from "MongoDB 7.0 Release Signing Key <packaging@mongodb.com>" [unknown]

Se o pacote estiver devidamente assinado, mas você não confiar na chave de assinatura em seu trustdb local, gpg também retornará a seguinte mensagem :

gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: E162 F504 A20C DF15 827F 718D 4B7C 549A 058F 8B6B

Se você receber a seguinte mensagem de erro, confirme se importou a chave pública correta:

gpg: Can't check signature: public key not found
1

Baixe os binários da Central de Download do MongoDB com base em seu ambiente. Você pode selecionar diferentes plataformas e versões nessa página. Click Copy e use o URL nas instruções a seguir.

Por exemplo, para baixar a versão 7.0.14 para macOS através da shell, digite este comando:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.14.tgz

Para fazer download da versão 7.0.14 para Linux por meio do shell, execute este comando:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz
2

Para baixar o arquivo SHA256 para macOS por meio do shell, execute este comando com a URL desejada, mais .sha256:

curl -LO https://fastdl.mongodb.org/osx/mongodb-macos-x86_64-7.0.14.tgz.sha256

Para baixar o arquivo SHA256 para Linux através da shell, execute este comando com a URL desejada, mais .sha256:

curl -LO https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-ubuntu2204-6.0.8.tgz.sha256
3

Calcule a soma de verificação do arquivo de pacote que você baixou:

shasum -c mongodb-macos-x86_64-7.0.14.tgz.sha256

que deve retornar o seguinte se a soma de verificação corresponder ao pacote baixado:

mongodb-macos-x86_64-7.0.14.tgz: OK

O procedimento a seguir verifica o binário MongoDB em relação à sua chave SHA256.

1

Faça o download do instalador do MongoDB .msi. Por exemplo, para baixar a versão mais recente do MongoDB Community Edition:

➤ Centro de downloads da MongoDB Community

  1. No menu suspenso Version, selecione 7.0.14 (current release).

  2. No menu suspenso Platform, selecione Windows.

  3. No menu suspenso Package, selecione msi.

  4. Clique em Download e salve o arquivo em sua pasta Downloads.

2

Obtenha o arquivo de assinatura pública para sua versão MongoDB.

Por exemplo, para a assinatura SHA256 da versão mais recente do MongoDB Community Edition:

  1. De https://fastdl.mongodb.org/windows/mongodb-windows-x86_64-7.0.14-signed.msi.sha256, copie o conteúdo.

  2. Salve o conteúdo em um arquivo mongodb-windows-x86_64-7.0.14-signed.msi.sha256 em sua pasta Downloads.

3

Para comparar o arquivo de assinatura com o hash do binário MongoDB, invoque este script Powershell:

$sigHash = (Get-Content $Env:HomePath\Downloads\mongodb-windows-x86_64-7.0.14-signed.msi.sha256 | Out-String).SubString(0,64).ToUpper(); `
$fileHash = (Get-FileHash $Env:HomePath\Downloads\mongodb-windows-x86_64-7.0.14-signed.msi).Hash.Trim(); `
echo $sigHash; echo $fileHash; `
$sigHash -eq $fileHash
C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473
C777DF7816BB8C9A760FDEA782113949408B6F39D72BE29A2551FA51E2FE0473
True

O comando gera três linhas:

  • Um hash SHA256 que você baixou diretamente do MongoDB.

  • Um hash SHA256 calculado do binário MongoDB que você baixou do MongoDB.

  • Um resultado True ou False, dependendo da correspondência dos hashes.

Se os hashes corresponderem, o binário do MongoDB será verificado.

Voltar

Cluster fragmentado