Configurazione della protezione dell'integrità del sistema per le istanze Amazon EC2 Mac - Amazon Elastic Compute Cloud
ConsiderazioniConfigurazioni SIP predefiniteControlla la tua configurazione SIPPrerequisiti per le istanze Apple Silicon MacConfigura le impostazioni SIPVerificare lo stato dell'attività di configurazione SIP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della protezione dell'integrità del sistema per le istanze Amazon EC2 Mac

Puoi configurare le impostazioni di System Integrity Protection (SIP) per le istanze Mac x86 e le istanze Mac Apple Silicon. SIP è una funzionalità di sicurezza fondamentale di macOS che aiuta a prevenire l'esecuzione non autorizzata di codice e le modifiche a livello di sistema. Per ulteriori informazioni, consulta Informazioni sulla protezione dell'integrità del sistema.

È possibile abilitare o disabilitare completamente SIP oppure abilitare o disabilitare selettivamente impostazioni SIP specifiche. Si consiglia di disabilitare SIP solo temporaneamente per eseguire le attività necessarie e quindi di riattivarlo il prima possibile. Lasciare SIP disattivato potrebbe rendere l'istanza vulnerabile al codice dannoso.

La configurazione SIP è supportata in tutte le AWS regioni in cui sono supportate le istanze Amazon EC2 Mac.

Considerazioni

  • Sono supportati i seguenti tipi di istanze Amazon EC2 Mac e versioni macOS:

    • Mac1 | Mac2 | Mac2-M1Ultra — macOS Ventura (versione 13.0 o successiva)

    • Mac2-M2 | Mac2-M2Pro — macOS Ventura (versione 13.2 o successiva)

    Nota

    Le versioni beta e di anteprima di macOS non sono supportate.

  • È possibile specificare una configurazione SIP personalizzata per abilitare o disabilitare selettivamente le singole impostazioni SIP. Se implementate una configurazione personalizzata, connettetevi all'istanza e verificate le impostazioni per assicurarvi che i requisiti siano implementati correttamente e funzionino come previsto.

    Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Ti consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.

  • Per le istanze Mac x86, le impostazioni SIP vengono applicate a livello di istanza. Qualsiasi volume root collegato all'istanza erediterà automaticamente le impostazioni SIP configurate.

    Per le istanze Mac Apple Silicon, le impostazioni SIP vengono applicate a livello di volume. I volumi root collegati all'istanza non ereditano le impostazioni SIP. Se si collega un altro volume root, è necessario riconfigurare le impostazioni SIP allo stato richiesto.

  • Il completamento delle attività di configurazione SIP può richiedere fino a 90 minuti. L'istanza rimane irraggiungibile mentre è in corso l'attività di configurazione SIP.

  • Le configurazioni SIP non vengono trasferite in istantanee o create successivamente dall' AMIs istanza.

  • Le istanze Apple Silicon Mac devono avere un solo volume avviabile e ogni volume collegato può avere un solo utente amministratore aggiuntivo.

Configurazioni SIP predefinite

La tabella seguente elenca la configurazione SIP predefinita per le istanze Mac x86 e le istanze Mac Apple Silicon.

Istanze Mac Apple in silicio istanze Mac x86
Interno Apple Abilitato Disabilitato
Protezioni del file system Abilitato Disabilitato
Sistema base Abilitato Abilitato
Restrizioni di debug Abilitato Abilitato
Restrizioni Dtrace Abilitato Abilitato
Firma successiva Abilitato Abilitato
Protezioni Nvram Abilitato Abilitato

Controlla la tua configurazione SIP

Ti consigliamo di controllare la configurazione SIP prima e dopo aver apportato le modifiche per assicurarti che sia configurata come previsto.

Per verificare la configurazione SIP per un'istanza Amazon EC2 Mac

Connect all'istanza tramite SSH, quindi esegui il comando seguente nella riga di comando.

$ csrutil status

Di seguito è riportato un output di esempio.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Prerequisiti per le istanze Apple Silicon Mac

Prima di poter configurare le impostazioni SIP per le istanze Mac Apple Silicon, devi impostare una password e abilitare il token sicuro per l'utente amministrativo del volume root di Amazon EBS (). ec2-user

Nota

La password e il token sicuro vengono impostati la prima volta che ti connetti a un'istanza Apple Silicon Mac utilizzando la GUI. Se in precedenza ti sei connesso all'istanza tramite la GUI o se utilizzi un'istanza Mac x86, non è necessario eseguire questi passaggi.

Per impostare una password e abilitare il token sicuro per l'utente amministrativo del volume root EBS

  1. Connect all'istanza tramite SSH.

  2. Imposta la password per l'ec2-userutente.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Abilita il token sicuro per l'ec2-userutente. Per-oldPassword, specifica la stessa password del passaggio precedente. Per-newPassword, specificare una password diversa. Il comando seguente presuppone che la vecchia e la nuova password siano salvate nei file. .txt

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Verifica che il token sicuro sia abilitato.

    $ sysadminctl -secureTokenStatus ec2-user

Configura le impostazioni SIP

Quando configuri le impostazioni SIP per la tua istanza, puoi abilitare o disabilitare tutte le impostazioni SIP oppure puoi specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche.

Nota

Se implementate una configurazione personalizzata, connettetevi all'istanza e verificate le impostazioni per assicurarvi che i requisiti siano implementati correttamente e funzionino come previsto.

Le configurazioni SIP potrebbero cambiare con gli aggiornamenti di macOS. Ti consigliamo di rivedere le impostazioni SIP personalizzate dopo ogni aggiornamento della versione di macOS per garantire la compatibilità continua e la corretta funzionalità delle configurazioni di sicurezza.

Per configurare le impostazioni SIP per la tua istanza, devi creare un'attività di configurazione SIP. L'attività di configurazione SIP specifica le impostazioni SIP per l'istanza.

Quando create una configurazione SIP per un'istanza Apple Silicon Mac, dovete specificare le seguenti credenziali:

  • Utente amministrativo del disco interno

    • Nome utente: solo l'utente amministrativo predefinito (aws-managed-user) è supportato e viene utilizzato per impostazione predefinita. Non è possibile specificare un utente amministrativo diverso.

    • Password: se non hai modificato la password predefinita peraws-managed-user, specifica la password predefinita, che è vuota. Altrimenti, specifica la tua password.

  • Utente amministrativo del volume root di Amazon EBS

    • Nome utente: se non hai modificato l'utente amministrativo predefinito, specificaec2-user. Altrimenti, specifica il nome utente per il tuo utente amministrativo.

    • Password: è necessario specificare sempre la password.

Utilizzate i seguenti metodi per creare un'attività di configurazione SIP.

Console
Per creare un'attività di configurazione SIP utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Istanze, quindi seleziona l'istanza Amazon EC2 Mac.

  3. Nella scheda Sicurezza, scegli Modifica Mac, Modifica protezione dell'integrità del sistema.

  4. Per abilitare tutte le impostazioni SIP, seleziona Abilita SIP. Per disabilitare tutte le impostazioni SIP, deseleziona Abilita SIP.

  5. Per specificare una configurazione personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche, seleziona Specificare una configurazione SIP personalizzata, quindi seleziona le impostazioni SIP da abilitare o deseleziona le impostazioni SIP da disabilitare.

  6. Specificate le credenziali per l'utente del volume root e il proprietario del disco interno.

  7. Scegli Crea attività di modifica SIP.

AWS CLI
Per creare un'attività di configurazione SIP utilizzando il AWS CLI

Usare il protection-modification-task comando create-mac-system-integrity-.

Abilita o disabilita tutte le impostazioni SIP

Per abilitare o disabilitare completamente tutte le impostazioni SIP, utilizzate solo il --mac-system-integrity-protection-status parametro.

Il comando di esempio seguente abilita tutte le impostazioni SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Specificare una configurazione SIP personalizzata

Per specificare una configurazione SIP personalizzata che abiliti o disabiliti selettivamente impostazioni SIP specifiche, specificate i parametri and. --mac-system-integrity-protection-status --mac-system-integrity-protection-configuration In questo caso, utilizzare mac-system-integrity-protection-status per specificare lo stato SIP generale e utilizzare per abilitare o mac-system-integrity-protection-configuration disabilitare selettivamente le singole impostazioni SIP.

Il comando di esempio seguente crea un'attività di configurazione SIP per abilitare tutte le impostazioni SIP, tranne e. NvramProtections FilesystemProtections

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

Il comando di esempio seguente crea un'attività di configurazione SIP per disabilitare tutte le impostazioni SIP, tranne. DtraceRestrictions

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Contenuto del file mac-credentials.json

Di seguito è riportato il contenuto del mac-credentials.json file a cui si fa riferimento negli esempi precedenti.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Verificare lo stato dell'attività di configurazione SIP

Utilizzate uno dei seguenti metodi per verificare lo stato delle attività di configurazione SIP.

Console
Per visualizzare le attività di configurazione SIP utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli Istanze, quindi seleziona l'istanza Amazon EC2 Mac.

  3. Nella scheda Sicurezza, scorri verso il basso fino alla sezione Attività di modifica del Mac.

AWS CLI
Per verificare lo stato delle attività di configurazione SIP utilizzando il AWS CLI

Utilizza il comando describe-mac-modification-tasks.