Configurazione della protezione dell'integrità del sistema per le istanze Amazon EC2 Mac - Amazon Elastic Compute Cloud
ConsiderazioniConfigurazioni SIP predefiniteControllo della configurazione SIPPrerequisiti per istanze Mac con processore AppleConfigurazione delle impostazioni SIPControllo dello stato dell’attività di configurazione SIP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della protezione dell'integrità del sistema per le istanze Amazon EC2 Mac

Puoi configurare le impostazioni di System Integrity Protection (SIP) per le istanze Mac x86 e Mac con processore Apple. SIP è una funzionalità di sicurezza fondamentale di macOS che aiuta a prevenire l’esecuzione non autorizzata di codice e le modifiche a livello di sistema. Per ulteriori informazioni, consulta About System Integrity Protection.

Puoi abilitare o disabilitare completamente la funzionalità SIP oppure abilitare o disabilitare selettivamente impostazioni SIP specifiche. Consigliamo di disabilitare la funzionalità SIP solo temporaneamente per eseguire le attività necessarie e quindi di riattivarla il prima possibile. Lasciare la funzionalità SIP disabilitata potrebbe rendere l’istanza vulnerabile al codice dannoso.

La configurazione SIP è supportata in tutte le AWS regioni in cui sono supportate le istanze Amazon EC2 Mac.

Considerazioni

  • Sono supportati i seguenti tipi di istanze Amazon EC2 Mac e versioni macOS:

    • Mac1 | Mac2 | Mac2-m1ultra: macOS Ventura (versione 13.0 o successiva)

    • Mac2-m2 | Mac2-m2pro: macOS Ventura (versione 13.2 o successiva)

    • Mac-m4 | Mac-m4pro: macOS Sequoia (versione 15.6 o successiva)

    Nota

    Le versioni beta e di anteprima di macOS non sono supportate.

  • Puoi specificare una configurazione SIP personalizzata per abilitare o disabilitare selettivamente le singole impostazioni SIP. Se implementi una configurazione personalizzata, connettiti all’istanza e verifica le impostazioni per assicurarti che i requisiti siano implementati correttamente e funzionino come previsto.

    Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.

  • Per istanze Mac x86, le impostazioni SIP vengono applicate a livello di istanza. Qualsiasi volume root collegato all’istanza erediterà automaticamente le impostazioni SIP configurate.

    Per le istanze Mac con processore Apple, le impostazioni SIP vengono applicate a livello di volume. I volumi root collegati all’istanza non ereditano le impostazioni SIP. Se colleghi un altro volume root, devi riconfigurare le impostazioni SIP allo stato richiesto.

  • Il completamento delle attività di configurazione SIP può richiedere fino a 90 minuti. L’istanza rimane irraggiungibile mentre è in corso l’attività di configurazione SIP.

  • Le configurazioni SIP non vengono trasferite in istantanee o create AMIs successivamente dall'istanza.

  • Le istanze Mac con processore Apple devono avere un solo volume avviabile e ogni volume collegato può avere un solo utente amministrativo aggiuntivo.

Configurazioni SIP predefinite

La tabella seguente elenca la configurazione SIP predefinita per le istanze Mac x86 e Mac con processore Apple.

Istanze Mac con processore Apple Istanze Mac x86
Interno Apple abilitato Disabilitato
Protezioni del filesystem abilitato Disabilitato
Sistema di base abilitato abilitato
Restrizioni di debugging abilitato abilitato
Restrizioni Dtrace abilitato abilitato
Firma Kext abilitato abilitato
Protezioni Nvram abilitato abilitato

Controllo della configurazione SIP

Consigliamo di controllare la configurazione SIP prima e dopo aver apportato le modifiche per assicurarti che sia configurata come previsto.

Per verificare la configurazione SIP per un'istanza Amazon EC2 Mac

Connettiti all’istanza tramite SSH, quindi esegui il comando seguente nella riga di comando.

$ csrutil status

Di seguito è riportato un output di esempio.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Prerequisiti per istanze Mac con processore Apple

Prima di poter configurare le impostazioni SIP per le istanze Mac con processore Apple, devi impostare una password e abilitare il token sicuro per l’utente amministrativo del volume root Amazon EBS (ec2-user),

Nota

La password e il token sicuro vengono impostati la prima volta che ti connetti a un’istanza Mac con processore Apple utilizzando l’interfaccia grafica (GUI). Se in precedenza hai effettuato la connessione all’istanza utilizzando la GUI o stai usando un’istanza Mac x86 non devi eseguire questi passaggi.

Per impostare una password e abilitare il token sicuro per l’utente amministrativo del volume root EBS

  1. Connect all'istanza tramite SSH.

  2. Imposta la password per l’utente ec2-user.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Abilita il token sicuro per l’utente ec2-user. In -oldPassword, specifica la stessa password del passaggio precedente. In -newPassword, specifica una password diversa. Il comando seguente presuppone che la vecchia e la nuova password siano salvate nei file .txt.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Verifica che il token sicuro sia abilitato.

    $ sysadminctl -secureTokenStatus ec2-user

Configurazione delle impostazioni SIP

Quando configuri le impostazioni SIP per la tua istanza, puoi abilitare o disabilitare tutte le impostazioni SIP oppure puoi specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche.

Nota

Se implementi una configurazione personalizzata, connettiti all’istanza e verifica le impostazioni per assicurarti che i requisiti siano implementati correttamente e funzionino come previsto.

Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.

Per configurare le impostazioni SIP per la tua istanza, devi creare un’attività di configurazione SIP. L’attività di configurazione SIP specifica le impostazioni SIP per l’istanza.

Quando crei una configurazione SIP per un’istanza Mac con processore Apple, devi specificare le credenziali seguenti:

  • Utente amministrativo del disco interno

    • Nome utente: solo l’utente amministrativo predefinito (aws-managed-user) è supportato e viene utilizzato per impostazione predefinita. Non puoi specificare un utente amministrativo diverso.

    • Password: se non hai modificato la password predefinita per aws-managed-user, specifica la password predefinita, che è vuota. Altrimenti, specifica la password.

  • Utente amministrativo del volume root Amazon EBS

    • Nome utente: se non hai modificato l’utente amministrativo predefinito, specifica ec2-user. Altrimenti, specifica il nome utente per l’utente amministrativo.

    • Password: devi specificare sempre la password.

Utilizza i seguenti metodi per creare un’attività di configurazione SIP.

Console
Per creare una configurazione SIP tramite la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Istanze, quindi seleziona l'istanza Amazon EC2 Mac.

  3. Nella scheda Sicurezza, scegli Modifica Mac, Modifica System Integrity Protection.

  4. Per abilitare tutte le impostazioni SIP, seleziona Abilita SIP. Per disabilitare tutte le impostazioni SIP, deseleziona Abilita SIP.

  5. Per specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche, seleziona Specifica una configurazione SIP personalizzata, quindi seleziona o deseleziona le impostazioni SIP da abilitare o disabilitare.

  6. Specifica le credenziali per l’utente del volume root e il proprietario del disco interno.

  7. Scegli Crea attività di modifica SIP.

AWS CLI
Per creare un'attività di configurazione SIP utilizzando AWS CLI

Usare il protection-modification-task comando create-mac-system-integrity-.

Abilitazione o disabilitazione di tutte le impostazioni SIP

Per abilitare o disabilitare completamente tutte le impostazioni SIP, utilizza solo il parametro --mac-system-integrity-protection-status.

Il comando di esempio seguente abilita tutte le impostazioni SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Specificazione di una configurazione SIP personalizzata

Per specificare una configurazione SIP personalizzata che abilita o disabilita selettivamente determinate impostazioni SIP, specifica i parametri --mac-system-integrity-protection-status e --mac-system-integrity-protection-configuration. In questo caso, utilizza mac-system-integrity-protection-status per specificare lo stato SIP generale e usa mac-system-integrity-protection-configuration per abilitare o disabilitare selettivamente le singole impostazioni SIP.

Il comando di esempio seguente crea un’attività di configurazione SIP per abilitare tutte le impostazioni SIP, tranne NvramProtections e FilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

Il comando di esempio seguente crea un’attività di configurazione SIP per disabilitare tutte le impostazioni SIP, tranne DtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Contenuti del file mac-credentials.json

I seguenti contenuti fanno parte del file mac-credentials.json indicato negli esempi precedenti.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Controllo dello stato dell’attività di configurazione SIP

Utilizza uno dei seguenti metodi per verificare lo stato delle attività di configurazione SIP.

Console
Per visualizzare le attività di configurazione SIP tramite la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Istanze, quindi seleziona l'istanza Amazon EC2 Mac.

  3. Nella scheda Sicurezza, scorri verso il basso fino alla sezione Attività di modifica Mac.

AWS CLI
Per verificare lo stato delle attività di configurazione SIP, utilizza AWS CLI

Utilizza il comando describe-mac-modification-tasks.