Systemintegritätsschutz für Amazon EC2 Mac-Instances konfigurieren - Amazon Elastic Compute Cloud
ÜberlegungenStandard-SIP-KonfigurationenÜberprüfen Sie Ihre SIP-KonfigurationVoraussetzungen für Apple Silicon Mac-InstanzenKonfigurieren Sie die SIP-EinstellungenÜberprüfen Sie den Status der SIP-Konfigurationsaufgabe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Systemintegritätsschutz für Amazon EC2 Mac-Instances konfigurieren

Sie können die Einstellungen für den Systemintegritätsschutz (SIP) für x86-Mac-Instances und Apple Silicon Mac-Instances konfigurieren. SIP ist eine wichtige Sicherheitsfunktion von macOS, die dazu beiträgt, unbefugte Codeausführung und Änderungen auf Systemebene zu verhindern. Weitere Informationen finden Sie unter Über den Schutz der Systemintegrität.

Sie können SIP entweder vollständig aktivieren oder deaktivieren, oder Sie können bestimmte SIP-Einstellungen selektiv aktivieren oder deaktivieren. Es wird empfohlen, SIP nur vorübergehend zu deaktivieren, um die erforderlichen Aufgaben auszuführen, und es dann so bald wie möglich wieder zu aktivieren. Wenn SIP deaktiviert ist, kann Ihre Instance anfällig für bösartigen Code werden.

Die SIP-Konfiguration wird in allen AWS Regionen unterstützt, in denen Amazon EC2 Mac-Instances unterstützt werden.

Überlegungen

  • Die folgenden Amazon EC2 Mac-Instance-Typen und macOS-Versionen werden unterstützt:

    • Mac1 | Mac2 | Mac2-M1Ultra — macOS Ventura (Version 13.0 oder höher)

    • Mac2-M2 | Mac2-M2Pro — macOS Ventura (Version 13.2 oder höher)

    Anmerkung

    Beta- und Vorschauversionen von macOS werden nicht unterstützt.

  • Sie können eine benutzerdefinierte SIP-Konfiguration angeben, um einzelne SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren. Wenn Sie eine benutzerdefinierte Konfiguration implementieren, stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen, um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.

    SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.

  • Bei x86-Mac-Instanzen werden die SIP-Einstellungen auf Instanzebene angewendet. Jedes an die Instanz angehängte Root-Volume erbt automatisch die konfigurierten SIP-Einstellungen.

    Bei Apple-Silicon-Mac-Instanzen werden die SIP-Einstellungen auf der Lautstärkeebene angewendet. Root-Volumes, die an die Instanz angeschlossen sind, erben die SIP-Einstellungen nicht. Wenn Sie ein anderes Root-Volume anhängen, müssen Sie die SIP-Einstellungen auf den erforderlichen Status zurücksetzen.

  • Es kann bis zu 90 Minuten dauern, bis die SIP-Konfigurationsaufgaben abgeschlossen sind. Die Instanz bleibt während der Ausführung der SIP-Konfigurationsaufgabe nicht erreichbar.

  • SIP-Konfigurationen werden nicht in Snapshots übertragen oder in Snapshots AMIs , die Sie anschließend aus der Instanz erstellen.

  • Apple Silicon Mac-Instances dürfen nur über ein bootfähiges Volume verfügen, und jedes angehängte Volume kann nur über einen zusätzlichen Admin-Benutzer verfügen.

Standard-SIP-Konfigurationen

In der folgenden Tabelle ist die Standard-SIP-Konfiguration für x86-Mac-Instanzen und Apple-Silicon-Mac-Instanzen aufgeführt.

Apple-Silicon-Mac-Instanzen x86-Mac-Instanzen
Apple intern Aktiviert Disabled
Dateisystem-Schutz Aktiviert Disabled
Basissystem Aktiviert Aktiviert
Einschränkungen beim Debuggen Aktiviert Aktiviert
Dtrace-Einschränkungen Aktiviert Aktiviert
Nächstes Signieren Aktiviert Aktiviert
NVRAM-Schutz Aktiviert Aktiviert

Überprüfen Sie Ihre SIP-Konfiguration

Wir empfehlen Ihnen, Ihre SIP-Konfiguration vor und nach Änderungen zu überprüfen, um sicherzustellen, dass sie wie erwartet konfiguriert ist.

Um die SIP-Konfiguration für eine Amazon EC2 Mac-Instance zu überprüfen

Stellen Sie über SSH Connect mit der Instance her und führen Sie dann den folgenden Befehl in der Befehlszeile aus.

$ csrutil status

Es folgt eine Beispielausgabe.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Voraussetzungen für Apple Silicon Mac-Instanzen

Bevor Sie die SIP-Einstellungen für Apple Silicon Mac-Instances konfigurieren können, müssen Sie ein Passwort festlegen und das sichere Token für den Administratorbenutzer des Amazon EBS-Root-Volumes aktivieren (ec2-user).

Anmerkung

Das Passwort und das sichere Token werden festgelegt, wenn Sie zum ersten Mal über die GUI eine Verbindung zu einer Apple-Silicon-Mac-Instance herstellen. Wenn Sie zuvor über die GUI eine Verbindung mit der Instanz hergestellt haben oder wenn Sie eine x86-Mac-Instanz verwenden, müssen Sie diese Schritte nicht ausführen.

Um ein Passwort festzulegen und das sichere Token für den Administratorbenutzer des EBS-Root-Volumes zu aktivieren

  1. Stellen Sie über SSH eine Connect zur Instance her.

  2. Legen Sie das Passwort für den ec2-user Benutzer fest.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Aktivieren Sie das sichere Token für den ec2-user Benutzer. Geben Sie für -oldPassword dasselbe Passwort wie im vorherigen Schritt ein. Geben Sie für -newPassword ein anderes Passwort ein. Der folgende Befehl geht davon aus, dass Sie Ihre alten und neuen Passwörter in .txt Dateien gespeichert haben.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Stellen Sie sicher, dass das sichere Token aktiviert ist.

    $ sysadminctl -secureTokenStatus ec2-user

Konfigurieren Sie die SIP-Einstellungen

Wenn Sie die SIP-Einstellungen für Ihre Instance konfigurieren, können Sie entweder alle SIP-Einstellungen aktivieren oder deaktivieren, oder Sie können eine benutzerdefinierte Konfiguration angeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert.

Anmerkung

Wenn Sie eine benutzerdefinierte Konfiguration implementieren, stellen Sie eine Verbindung zur Instance her und überprüfen Sie die Einstellungen, um sicherzustellen, dass Ihre Anforderungen ordnungsgemäß implementiert sind und wie vorgesehen funktionieren.

SIP-Konfigurationen können sich mit macOS-Updates ändern. Wir empfehlen Ihnen, die benutzerdefinierten SIP-Einstellungen nach jedem Upgrade der macOS-Version zu überprüfen, um sicherzustellen, dass Ihre Sicherheitskonfigurationen weiterhin kompatibel sind und ordnungsgemäß funktionieren.

Um die SIP-Einstellungen für Ihre Instance zu konfigurieren, müssen Sie eine SIP-Konfigurationsaufgabe erstellen. Die SIP-Konfigurationsaufgabe spezifiziert die SIP-Einstellungen für Ihre Instanz.

Wenn Sie eine SIP-Konfiguration für eine Apple-Silicon-Mac-Instanz erstellen, müssen Sie die folgenden Anmeldeinformationen angeben:

  • Interner Festplatten-Administrator

    • Benutzername — Nur der standardmäßige Administratorbenutzer (aws-managed-user) wird unterstützt und standardmäßig verwendet. Sie können keinen anderen Administratorbenutzer angeben.

    • Passwort — Wenn Sie das Standardkennwort für nicht geändert habenaws-managed-user, geben Sie das Standardkennwort ein, das leer ist. Geben Sie andernfalls Ihr Passwort ein.

  • Administratorbenutzer für das Amazon EBS-Root-Volume

    • Benutzername — Wenn Sie den standardmäßigen Administratorbenutzer nicht geändert haben, geben Sie ihn anec2-user. Geben Sie andernfalls den Benutzernamen für Ihren Administratorbenutzer an.

    • Passwort — Sie müssen immer das Passwort angeben.

Verwenden Sie die folgenden Methoden, um eine SIP-Konfigurationsaufgabe zu erstellen.

Console
Um eine SIP-Konfigurationsaufgabe mit der Konsole zu erstellen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances und dann die Amazon EC2 Mac-Instance aus.

  3. Wählen Sie auf der Registerkarte Sicherheit die Optionen Mac modifizieren, Systemintegritätsschutz modifizieren aus.

  4. Um alle SIP-Einstellungen zu aktivieren, wählen Sie SIP aktivieren aus. Um alle SIP-Einstellungen zu deaktivieren, deaktivieren Sie die Option SIP aktivieren.

  5. Um eine benutzerdefinierte Konfiguration anzugeben, mit der bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert werden, wählen Sie Benutzerdefinierte SIP-Konfiguration angeben aus und wählen Sie dann die SIP-Einstellungen aus, die aktiviert werden sollen, oder löschen Sie die SIP-Einstellungen, um sie zu deaktivieren.

  6. Geben Sie die Anmeldeinformationen für den Benutzer des Root-Volumes und den Besitzer des internen Datenträgers an.

  7. Wählen Sie Aufgabe zur SIP-Änderung erstellen aus.

AWS CLI
Um eine SIP-Konfigurationsaufgabe mit dem zu erstellen AWS CLI

Verwenden Sie den protection-modification-task Befehl create-mac-system-integrity-.

Aktiviert oder deaktiviert alle SIP-Einstellungen

Um alle SIP-Einstellungen vollständig zu aktivieren oder zu deaktivieren, verwenden Sie nur den --mac-system-integrity-protection-status Parameter.

Der folgende Beispielbefehl aktiviert alle SIP-Einstellungen.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Geben Sie eine benutzerdefinierte SIP-Konfiguration an

Um eine benutzerdefinierte SIP-Konfiguration anzugeben, die bestimmte SIP-Einstellungen selektiv aktiviert oder deaktiviert, geben Sie die --mac-system-integrity-protection-configuration Parameter --mac-system-integrity-protection-status und an. Verwenden Sie in diesem Fall, mac-system-integrity-protection-status um den gesamten SIP-Status anzugeben und einzelne mac-system-integrity-protection-configuration SIP-Einstellungen selektiv zu aktivieren oder zu deaktivieren.

Mit dem folgenden Beispielbefehl wird eine SIP-Konfigurationsaufgabe erstellt, um alle SIP-Einstellungen außer NvramProtections und FilesystemProtections zu aktivieren.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

Der folgende Beispielbefehl erstellt eine SIP-Konfigurationsaufgabe, um alle SIP-Einstellungen außer zu deaktivierenDtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Inhalt der mac-credentials.json Datei

Im Folgenden finden Sie den Inhalt der mac-credentials.json Datei, auf die in den vorherigen Beispielen verwiesen wurde.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Überprüfen Sie den Status der SIP-Konfigurationsaufgabe

Verwenden Sie eine der folgenden Methoden, um den Status der SIP-Konfigurationsaufgaben zu überprüfen.

Console
So zeigen Sie SIP-Konfigurationsaufgaben mit der Konsole an

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances und dann die Amazon EC2 Mac-Instance aus.

  3. Scrollen Sie auf der Registerkarte „Sicherheit“ nach unten zum Abschnitt „Aufgaben zur Mac-Änderung“.

AWS CLI
Um den Status der SIP-Konfigurationsaufgaben zu überprüfen, verwenden Sie den AWS CLI

Verwenden Sie den Befehl describe-mac-modification-tasks.