Systemintegritätsschutz für Amazon EC2 Mac-Instances konfigurieren - Amazon Elastic Compute Cloud
ÜberlegungenStandard-SIP-KonfigurationenIhre SIP-Konfiguration überprüfenVoraussetzungen für Apple-Halbleiter-Mac-InstancesSIP-Einstellungen konfigurierenÜberprüfen Sie den Status der SIP-Konfigurationsaufgabe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Systemintegritätsschutz für Amazon EC2 Mac-Instances konfigurieren

Sie können Systemintegritätsschutz-Einstellungen (SIP) für x86-Mac-Instances und Apple-Halbleiter-Mac-Instances konfigurieren. SIP ist ein wichtiges Sicherheitsfeature von macOS, die dazu beiträgt, unbefugte Codeausführung und Änderungen auf Systemebene zu verhindern. Weitere Informationen finden Sie unter Allgemeines zum Systemintegritätsschutz.

Sie können SIP entweder vollständig aktivieren oder deaktivieren, oder Sie können bestimmte SIP-Einstellungen selektiv aktivieren oder deaktivieren. Es wird empfohlen, SIP nur vorübergehend zu deaktivieren, um die erforderlichen Aufgaben auszuführen, und dann so bald wie möglich wieder zu aktivieren. Wenn SIP deaktiviert ist, kann Ihre Instance anfällig für bösartigen Code werden.

Die SIP-Konfiguration wird in allen AWS Regionen unterstützt, in denen Amazon EC2 Mac-Instances unterstützt werden.

Überlegungen

  • Die folgenden Amazon EC2 Mac-Instance-Typen und macOS-Versionen werden unterstützt:

    • Mac1 | Mac2 | Mac2-m1ultra – macOS Ventura (Version 13,0 oder höher)

    • Mac2-m2 | Mac2-m2pro – macOS Ventura (Version 13,2 oder höher)

    • Mac-m4 | Mac-m4pro – macOS Sequoia (Version 15.6 oder höher)

    Anmerkung

    Beta- und Vorschauversionen von macOS werden nicht unterstützt.

  • Sie können eine benutzerdefinierte SIP-Konfiguration angeben, um einzelne SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren. Wenn Sie eine benutzerdefinierte Konfiguration implementieren, stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen, um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.

    SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.

  • Für x86-Mac-Instances werden SIP-Einstellungen auf Instance-Ebene angewendet. Jedes an die Instance angehängte Root-Volume erbt automatisch die konfigurierten SIP-Einstellungen.

    Bei Apple-Halbleiter-Mac-Instances werden die SIP-Einstellungen auf der Volume-Ebene angewendet. Root-Volumes, die an die Instance angehängt sind, erben die SIP-Einstellungen nicht. Wenn Sie ein anderes Root-Volume anhängen, müssen Sie die SIP-Einstellungen neu konfigurieren, um sie auf den erforderlichen Status zurücksetzen.

  • Es kann bis zu 90 Minuten dauern, bis die SIP-Konfigurationsaufgaben abgeschlossen sind. Die Instance bleibt während der Ausführung der SIP-Konfigurationsaufgabe nicht erreichbar.

  • SIP-Konfigurationen werden nicht in Snapshots übertragen oder AMIs die Sie anschließend aus der Instance erstellen.

  • Apple-Halbleiter-Mac-Instances dürfen nur über ein bootfähiges Volume verfügen, und jedes angehängte Volume kann nur über einen zusätzlichen Administratorbenutzer verfügen.

Standard-SIP-Konfigurationen

In der folgenden Tabelle ist die Standard-SIP-Konfiguration für x86-Mac-Instances und Apple-Halbleiter-Mac-Instances aufgeführt.

Apple-Halbleiter-Mac-Instances x86-Mac-Instances
Apple Internal Aktiviert Disabled
Dateisystemschutz Aktiviert Disabled
Basissystem Aktiviert Aktiviert
Debugging-Einschränkungen Aktiviert Aktiviert
Dtrace-Einschränkungen Aktiviert Aktiviert
Kext-Signatur Aktiviert Aktiviert
Nvram-Schutz Aktiviert Aktiviert

Ihre SIP-Konfiguration überprüfen

Wir empfehlen Ihnen, Ihre SIP-Konfiguration vor und nach Änderungen zu überprüfen, um sicherzustellen, dass sie wie erwartet konfiguriert ist.

Um die SIP-Konfiguration für eine Amazon EC2 Mac-Instance zu überprüfen

Stellen Sie über SSH eine Verbindung zur Instance her und führen Sie dann den folgenden Befehl in der Befehlszeile aus.

$ csrutil status

Es folgt eine Beispielausgabe.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Voraussetzungen für Apple-Halbleiter-Mac-Instances

Bevor Sie die SIP-Einstellungen für Apple-Halbleiter-Mac-Instances konfigurieren können, müssen Sie ein Passwort festlegen und das sichere Token für den Administratorbenutzer des Amazon-EBS-Root-Volumes (ec2-user) aktivieren.

Anmerkung

Das Passwort und das sichere Token werden festgelegt, wenn Sie zum ersten Mal über die GUI eine Verbindung zu einer Apple-Halbleiter-Mac-Instance herstellen. Wenn Sie zuvor über die GUI eine Verbindung mit der Instance hergestellt haben oder wenn Sie eine x86-Mac-Instance verwenden, müssen Sie diese Schritte nicht ausführen.

So können Sie ein Passwort festlegen und das sichere Token für den Administratorbenutzer des EBS-Root-Volumes aktivieren

  1. Stellen Sie über SSH eine Connect zur Instance her.

  2. Legen Sie das Passwort für den ec2-user-Benutzer fest.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Aktivieren Sie das sichere Token für den ec2-user-Benutzer. Geben Sie für -oldPassword dasselbe Passwort aus dem vorherigen Schritt an. Geben Sie für -newPassword ein anderes Passwort ein. Der folgende Befehl geht davon aus, dass Sie Ihre alten und neuen Passwörter in .txt-Dateien gespeichert haben.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Stellen Sie sicher, dass das sichere Token aktiviert ist.

    $ sysadminctl -secureTokenStatus ec2-user

SIP-Einstellungen konfigurieren

Wenn Sie die SIP-Einstellungen für Ihre Instance konfigurieren, können Sie entweder alle SIP-Einstellungen aktivieren oder deaktivieren, oder Sie können eine benutzerdefinierte Konfiguration angeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert.

Anmerkung

Wenn Sie eine benutzerdefinierte Konfiguration implementieren, stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen, um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.

SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.

Um die SIP-Einstellungen für Ihre Instance zu konfigurieren, müssen Sie eine SIP-Konfigurationsaufgabe erstellen. Die SIP-Konfigurationsaufgabe legt die SIP-Einstellungen für Ihre Instance fest.

Wenn Sie eine SIP-Konfiguration für eine Apple-Halbleiter-Mac-Instance erstellen, müssen Sie die folgenden Anmeldeinformationen angeben:

  • Administratorbenutzer der internen Festplatte

    • Benutzername – Nur der standardmäßige Administratorbenutzer (aws-managed-user) wird unterstützt und standardmäßig verwendet. Sie können keinen anderen Administratorbenutzer angeben.

    • Passwort – Wenn Sie das Standardpasswort für aws-managed-user nicht geändert haben, geben Sie das Standardpasswort ein, das leer ist. Andernfalls geben Sie Ihr Passwort ein.

  • Administrator-Benutzer des Amazon-EBS-Root-Volumes

    • Benutzername – Wenn Sie den standardmäßigen Administratorbenutzer nicht geändert haben, geben Sie ec2-user an. Geben Sie andernfalls den Benutzernamen für Ihren Administratorbenutzer an.

    • Passwort – Sie müssen immer das Passwort angeben.

Verwenden Sie die folgenden Methoden, um eine SIP-Konfigurationsaufgabe zu erstellen.

Console
So erstellen Sie eine SIP-Konfigurationsaufgabe mit der Konsole

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances und dann die Amazon EC2 Mac-Instance aus.

  3. Wählen Sie auf der Registerkarte Sicherheit die Optionen Mac anpassen, Systemintegritätsschutz anpassen aus.

  4. Um alle SIP-Einstellungen zu aktivieren, wählen Sie SIP aktivieren aus. Um alle SIP-Einstellungen zu deaktivieren, deaktivieren Sie die Option SIP aktivieren.

  5. Um eine benutzerdefinierte Konfiguration anzugeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert, wählen Sie Benutzerdefinierte SIP-Konfiguration angeben und wählen Sie dann die SIP-Einstellungen aus, die aktiviert werden sollen, oder löschen Sie die SIP-Einstellungen, um sie zu deaktivieren.

  6. Geben Sie die Anmeldeinformationen für den Benutzer des Root-Volumes und den Besitzer der internen Festplatte an.

  7. Wählen Sie SIP-Änderungsaufgabe erstellen aus.

AWS CLI
Um eine SIP-Konfigurationsaufgabe mit dem zu erstellen AWS CLI

Verwenden Sie den protection-modification-task Befehl create-mac-system-integrity-.

Alle SIP-Einstellungen aktivieren/deaktivieren

Verwenden Sie nur den Parameter --mac-system-integrity-protection-status, um alle SIP-Einstellungen vollständig zu aktivieren oder zu deaktivieren.

Der folgende Beispielbefehl aktiviert alle SIP-Einstellungen.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Eine benutzerdefinierte SIP-Konfiguration angeben

Um eine benutzerdefinierte SIP-Konfiguration anzugeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert, geben Sie die Parameter --mac-system-integrity-protection-status und --mac-system-integrity-protection-configuration an. Verwenden Sie in diesem Fall mac-system-integrity-protection-status, um den gesamten SIP-Status anzugeben. und mac-system-integrity-protection-configuration, um einzelne SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren.

Mit dem folgenden Beispielbefehl wird eine SIP-Konfigurationsaufgabe erstellt, um alle SIP-Einstellungen außer NvramProtections und FilesystemProtections zu aktivieren.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

Mit dem folgenden Beispielbefehl wird eine SIP-Konfigurationsaufgabe erstellt, um alle SIP-Einstellungen außer DtraceRestrictions zu deaktivieren.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Inhalt der mac-credentials.json-Datei.

Im folgenden ist der Inhalt der in den vorherigen Beispielen referenzierten mac-credentials.json-Datei dargestellt.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Überprüfen Sie den Status der SIP-Konfigurationsaufgabe

Verwenden Sie eine der folgenden Methoden, um den Status der SIP-Konfigurationsaufgaben zu überprüfen.

Console
So zeigen Sie Ihre SIP-Konfigurationsaufgaben mit der Konsole an

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances und dann die Amazon EC2 Mac-Instance aus.

  3. Scrollen Sie auf der Registerkarte Sicherheit nach unten zum Abschnitt Mac-Änderungsaufgaben.

AWS CLI
Um den Status der SIP-Konfigurationsaufgaben zu überprüfen, verwenden Sie AWS CLI

Verwenden Sie den Befehl describe-mac-modification-tasks.