Konfigurasikan Perlindungan Integritas Sistem untuk instans Amazon EC2 Mac - Amazon Elastic Compute Cloud
PertimbanganKonfigurasi SIP defaultPeriksa konfigurasi SIP AndaPrasyarat untuk instance Apple silicon MacKonfigurasikan pengaturan SIPPeriksa status tugas konfigurasi SIP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan Perlindungan Integritas Sistem untuk instans Amazon EC2 Mac

Anda dapat mengonfigurasi pengaturan Perlindungan Integritas Sistem (SIP) untuk instans Mac x86 dan instans Apple silicon Mac. SIP adalah fitur keamanan macOS penting yang membantu mencegah eksekusi kode yang tidak sah dan modifikasi tingkat sistem. Untuk informasi selengkapnya, lihat Tentang Perlindungan Integritas Sistem.

Anda dapat mengaktifkan atau menonaktifkan SIP sepenuhnya, atau Anda dapat mengaktifkan atau menonaktifkan pengaturan SIP tertentu secara selektif. Disarankan agar Anda menonaktifkan SIP hanya sementara untuk melakukan tugas-tugas yang diperlukan, dan kemudian mengaktifkannya kembali sesegera mungkin. Meninggalkan SIP dinonaktifkan dapat membuat instance Anda rentan terhadap kode berbahaya.

Konfigurasi SIP didukung di semua AWS Wilayah di mana instans Amazon EC2 Mac didukung.

Pertimbangan

  • Jenis instans Amazon EC2 Mac berikut dan versi macOS didukung:

    • Mac1 | Mac2 | Mac2-M1Ultra - macOS Ventura (versi 13.0 atau yang lebih baru)

    • Mac2-m2 | Mac2-M2Pro - macOS Ventura (versi 13.2 atau yang lebih baru)

    catatan

    Versi beta dan pratinjau macOS tidak didukung.

  • Anda dapat menentukan konfigurasi SIP khusus untuk mengaktifkan atau menonaktifkan pengaturan SIP individual secara selektif. Jika Anda menerapkan konfigurasi kustom, sambungkan ke instans dan verifikasi pengaturan untuk memastikan bahwa persyaratan Anda diterapkan dengan benar dan berfungsi sebagaimana dimaksud.

    Konfigurasi SIP mungkin berubah dengan pembaruan macOS. Kami menyarankan Anda meninjau pengaturan SIP khusus setelah upgrade versi macOS apa pun untuk memastikan kompatibilitas berkelanjutan dan fungsionalitas yang tepat dari konfigurasi keamanan Anda.

  • Untuk instance Mac x86, pengaturan SIP diterapkan pada tingkat instans. Setiap volume root yang melekat pada instance akan secara otomatis mewarisi pengaturan SIP yang dikonfigurasi.

    Untuk instance Apple silicon Mac, pengaturan SIP diterapkan pada tingkat volume. Volume root yang dilampirkan ke instance tidak mewarisi pengaturan SIP. Jika Anda melampirkan volume root lain, Anda harus mengkonfigurasi ulang pengaturan SIP ke status yang diperlukan.

  • Diperlukan waktu hingga 90 menit untuk menyelesaikan tugas konfigurasi SIP. Instance tetap tidak dapat dijangkau saat tugas konfigurasi SIP sedang berlangsung.

  • Konfigurasi SIP tidak ditransfer ke snapshot atau AMIs yang kemudian Anda buat dari instance.

  • Instans Apple silicon Mac harus memiliki hanya satu volume yang dapat di-boot, dan setiap volume terlampir hanya dapat memiliki satu pengguna admin tambahan.

Konfigurasi SIP default

Tabel berikut mencantumkan konfigurasi SIP default untuk instance Mac x86 dan instance Apple silicon Mac.

Instans Apple silikon Mac contoh x86 Mac
Apple Internal Diaktifkan Dinonaktifkan
Perlindungan Sistem File Diaktifkan Dinonaktifkan
Sistem Dasar Diaktifkan Diaktifkan
Pembatasan Debugging Diaktifkan Diaktifkan
Pembatasan Dtrace Diaktifkan Diaktifkan
Penandatanganan Kext Diaktifkan Diaktifkan
Perlindungan Nvram Diaktifkan Diaktifkan

Periksa konfigurasi SIP Anda

Kami menyarankan Anda memeriksa konfigurasi SIP Anda sebelum dan sesudah membuat perubahan untuk memastikan bahwa konfigurasi tersebut dikonfigurasi seperti yang diharapkan.

Untuk memeriksa konfigurasi SIP untuk instans Amazon EC2 Mac

Connect ke instance menggunakan SSH, dan kemudian jalankan perintah berikut di baris perintah.

$ csrutil status

Berikut ini adalah output contoh.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Prasyarat untuk instance Apple silicon Mac

Sebelum Anda dapat mengonfigurasi pengaturan SIP untuk instance Apple silicon Mac, Anda harus mengatur kata sandi dan mengaktifkan token aman untuk pengguna administratif volume root Amazon EBS ()ec2-user.

catatan

Kata sandi dan token aman disetel saat pertama kali Anda terhubung ke instans Apple silikon Mac menggunakan GUI. Jika sebelumnya Anda terhubung ke instans menggunakan GUI, atau jika Anda menggunakan instance Mac x86, Anda tidak perlu melakukan langkah-langkah ini.

Untuk mengatur kata sandi dan mengaktifkan token aman untuk pengguna administratif volume root EBS

  1. Connect ke instance menggunakan SSH.

  2. Atur kata sandi untuk ec2-user pengguna.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Aktifkan token aman untuk ec2-user pengguna. Untuk-oldPassword, tentukan kata sandi yang sama dari langkah sebelumnya. Untuk-newPassword, tentukan kata sandi yang berbeda. Perintah berikut mengasumsikan bahwa Anda memiliki kata sandi lama dan baru yang disimpan dalam file. .txt

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Verifikasi bahwa token aman diaktifkan.

    $ sysadminctl -secureTokenStatus ec2-user

Konfigurasikan pengaturan SIP

Saat Anda mengonfigurasi pengaturan SIP untuk instans Anda, Anda dapat mengaktifkan atau menonaktifkan semua pengaturan SIP, atau Anda dapat menentukan konfigurasi khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu.

catatan

Jika Anda menerapkan konfigurasi kustom, sambungkan ke instans dan verifikasi pengaturan untuk memastikan bahwa persyaratan Anda diterapkan dengan benar dan berfungsi sebagaimana dimaksud.

Konfigurasi SIP mungkin berubah dengan pembaruan macOS. Kami menyarankan Anda meninjau pengaturan SIP khusus setelah upgrade versi macOS apa pun untuk memastikan kompatibilitas berkelanjutan dan fungsionalitas yang tepat dari konfigurasi keamanan Anda.

Untuk mengkonfigurasi pengaturan SIP untuk instance Anda, Anda harus membuat tugas konfigurasi SIP. Tugas konfigurasi SIP menentukan pengaturan SIP untuk instance Anda.

Saat membuat konfigurasi SIP untuk instance Apple silicon Mac, Anda harus menentukan kredensi berikut:

  • Pengguna administratif disk internal

    • Nama pengguna - Hanya pengguna administratif default (aws-managed-user) yang didukung dan digunakan secara default. Anda tidak dapat menentukan pengguna administratif yang berbeda.

    • Kata sandi — Jika Anda tidak mengubah kata sandi default untukaws-managed-user, tentukan kata sandi default, yang kosong. Jika tidak, tentukan kata sandi Anda.

  • Pengguna administratif volume root Amazon EBS

    • Nama pengguna — Jika Anda tidak mengubah pengguna administratif default, tentukanec2-user. Jika tidak, tentukan nama pengguna untuk pengguna administratif Anda.

    • Kata sandi — Anda harus selalu menentukan kata sandi.

Gunakan metode berikut untuk membuat tugas konfigurasi SIP.

Console
Untuk membuat tugas konfigurasi SIP menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans dan kemudian pilih instans Amazon EC2 Mac.

  3. Di tab Keamanan, pilih Ubah Mac, Ubah Perlindungan Integritas Sistem.

  4. Untuk mengaktifkan semua pengaturan SIP, pilih Aktifkan SIP. Untuk menonaktifkan semua pengaturan SIP, hapus Aktifkan SIP.

  5. Untuk menentukan konfigurasi khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu, pilih Tentukan konfigurasi SIP khusus, lalu pilih pengaturan SIP untuk mengaktifkan, atau hapus pengaturan SIP untuk menonaktifkan.

  6. Tentukan kredensional untuk pengguna volume root dan pemilik disk internal.

  7. Pilih Buat tugas modifikasi SIP.

AWS CLI
Untuk membuat tugas konfigurasi SIP menggunakan AWS CLI

Gunakan protection-modification-task perintah create-mac-system-integrity-.

Aktifkan atau nonaktifkan semua pengaturan SIP

Untuk sepenuhnya mengaktifkan atau menonaktifkan semua pengaturan SIP, gunakan hanya --mac-system-integrity-protection-status parameter.

Contoh perintah berikut memungkinkan semua pengaturan SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Tentukan konfigurasi SIP khusus

Untuk menentukan konfigurasi SIP khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu, tentukan --mac-system-integrity-protection-status dan --mac-system-integrity-protection-configuration parameter. Dalam hal ini, gunakan mac-system-integrity-protection-status untuk menentukan status SIP keseluruhan, dan gunakan mac-system-integrity-protection-configuration untuk mengaktifkan atau menonaktifkan pengaturan SIP individu secara selektif.

Contoh perintah berikut membuat tugas konfigurasi SIP untuk mengaktifkan semua pengaturan SIP, kecuali NvramProtections danFilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

Contoh perintah berikut membuat tugas konfigurasi SIP untuk menonaktifkan semua pengaturan SIP, kecualiDtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Isi mac-credentials.json file

Berikut ini adalah isi dari mac-credentials.json file yang direferensikan dalam contoh sebelumnya.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Periksa status tugas konfigurasi SIP

Gunakan salah satu metode berikut untuk memeriksa status tugas konfigurasi SIP.

Console
Untuk melihat tugas konfigurasi SIP menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans dan kemudian pilih instans Amazon EC2 Mac.

  3. Di tab Keamanan, gulir ke bawah ke bagian tugas modifikasi Mac.

AWS CLI
Untuk memeriksa status tugas konfigurasi SIP menggunakan AWS CLI

Gunakan perintah describe-mac-modification-tasks.