Configurar a proteção da integridade do sistema para instâncias Mac do Amazon EC2 - Amazon Elastic Compute Cloud
ConsideraçõesConfigurações de SIP padrãoVerifique sua configuração de SIPPré-requisitos para instâncias Mac com chip AppleConfigurar as opções de SIPVerificar o status da tarefa de configuração de SIP

Configurar a proteção da integridade do sistema para instâncias Mac do Amazon EC2

É possível configurar as opções da proteção da integridade do sistema (SIP) para instâncias Mac x86 e instâncias Mac com chip Apple. A SIP é um recurso de segurança essencial do macOS que ajuda a evitar a execução não autorizada de código e modificações no nível do sistema. Para obter mais informações, consulte Sobre a proteção da integridade do sistema.

É possível habilitar ou desabilitar completamente a SIP ou habilitar ou desabilitar seletivamente configurações específicas da proteção. Recomenda-se desabilitar a SIP apenas temporariamente para executar as tarefas necessárias e, em seguida, voltar a habilitá-la assim que possível. Manter a SIP desabilitada pode deixar sua instância vulnerável a códigos maliciosos.

A configuração da SIP é aceita em todas as regiões da AWS em que as instâncias Mac do Amazon EC2 são aceitas.

Considerações

  • Os seguintes tipos de instância Mac do Amazon EC2 e versões do macOS são compatíveis:

    • Mac1 | Mac2 | Mac2-m1ultra: macOS Ventura (versão 13.0 ou posterior)

    • Mac2-m2 | Mac2-m2pro: macOS Ventura (versão 13.2 ou posterior)

    nota

    As versões beta e de prévia do macOS não são aceitas.

  • É possível especificar uma configuração de SIP personalizada para habilitar ou desabilitar seletivamente configurações de SIP individuais. Se você implementar uma configuração personalizada, conecte-se à instância e verifique as configurações para garantir que seus requisitos sejam implementados adequadamente e funcionem conforme o esperado.

    As configurações de SIP podem mudar com as atualizações do macOS. Recomendamos revisar as configurações de SIP personalizadas após qualquer atualização da versão do macOS para garantir a compatibilidade contínua e a funcionalidade adequada das suas configurações de segurança.

  • Para instâncias Mac x86, as configurações de SIP são aplicadas no nível da instância. Qualquer volume raiz associado à instância herdará automaticamente as configurações de SIP configuradas.

    Para instâncias Mac com chip Apple, as configurações de SIP são aplicadas no nível do volume. Os volumes raiz associados à instância não herdam as configurações de SIP. Se você associar outro volume raiz, deverá alterar as configurações de SIP para o estado necessário.

  • Até 90 minutos podem ser necessários para que as tarefas de configuração de SIP sejam concluídas. A instância permanece inacessível enquanto a tarefa de configuração do SIP está em andamento.

  • As configurações de SIP não são transferidas para os snapshots ou AMIs criados posteriormente com base na instância.

  • As instâncias Mac com chip Apple devem ter somente um volume inicializável, e cada volume associado pode ter somente um usuário administrador adicional.

Configurações de SIP padrão

A tabela a seguir lista a configuração de SIP padrão para instâncias Mac x86 e instâncias Mac com chip Apple.

Instâncias Mac com chip Apple Instâncias do Mac x86
Interno da Apple habilitado desabilitados
Proteções de sistema de arquivos habilitado desabilitados
Sistema base habilitado habilitado
Restrições de depuração habilitado habilitado
Restrições de acesso habilitado habilitado
Assinatura de Kext habilitado habilitado
Proteções de Nvram habilitado habilitado

Verifique sua configuração de SIP

Recomendamos que você verifique a configuração de SIP antes e depois de fazer alterações para garantir que ela esteja configurada conforme o esperado.

Para verificar a configuração de SIP de uma instância Mac do Amazon EC2

Conecte-se à instância usando SSH e execute o comando a seguir na linha de comando.

$ csrutil status

O seguinte é um exemplo de saída.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Pré-requisitos para instâncias Mac com chip Apple

Antes de configurar as configurações de SIP para instâncias Mac com chip Apple, é necessário definir uma senha e ativar o token seguro para o usuário administrativo do volume raiz do Amazon EBS (ec2-user).

nota

A senha e o token seguro são definidos na primeira vez que você se conecta a uma instância Mac com chip Apple usando a GUI. Se você já se conectou à instância usando a GUI, ou se estiver usando uma instância Mac x86, não será necessário executar essas etapas.

Para definir uma senha e ativar o token seguro para o usuário administrativo do volume raiz do EBS

  1. Conecte-se à instância usando SSH.

  2. Defina a senha do usuário ec2-user.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Ative o token seguro para o usuário ec2-user. Em -oldPassword, especifique a mesma senha da etapa anterior. Em -newPassword, especifique uma senha diferente. O comando a seguir pressupõe que suas senhas antigas e novas salvas estejam salvas em arquivos .txt.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Verifique se o token seguro está habilitado.

    $ sysadminctl -secureTokenStatus ec2-user

Configurar as opções de SIP

Ao configurar as opções de SIP para sua instância, é possível habilitar ou desabilitar todas as configurações de SIP ou especificar uma configuração personalizada que habilite ou desabilite seletivamente configurações de SIP específicas.

nota

Se você implementar uma configuração personalizada, conecte-se à instância e verifique as configurações para garantir que seus requisitos sejam implementados adequadamente e funcionem conforme o esperado.

As configurações de SIP podem mudar com as atualizações do macOS. Recomendamos revisar as configurações de SIP personalizadas após qualquer atualização da versão do macOS para garantir a compatibilidade contínua e a funcionalidade adequada das suas configurações de segurança.

Para configurar as opções de SIP para sua instância, é necessário criar uma tarefa de configuração de SIP. A tarefa de configuração de SIP especifica as configurações de SIP para sua instância.

Ao criar uma configuração de SIP para uma instância Mac com chip Apple, é necessário especificar as seguintes credenciais:

  • Usuário administrativo do disco interno

    • Nome de usuário: somente o usuário administrativo padrão (aws-managed-user) é aceito e é usado por padrão. Não é possível especificar um usuário administrativo diferente.

    • Senha: se você não alterou a senha padrão para aws-managed-user, especifique a senha padrão, que está em branco. Caso contrário, especifique sua senha.

  • Usuário administrativo do volume raiz do Amazon EBS

    • Nome de usuário: se você não alterou o usuário administrativo padrão, especifique ec2-user. Caso contrário, especifique o nome de usuário do seu usuário administrativo.

    • Senha: a senha deve ser sempre especificada.

Use os métodos a seguir para criar uma tarefa de configuração de SIP.

Console
Para criar uma tarefa de configuração de SIP usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação à esquerda, escolha Instâncias e, em seguida, selecione a instância Mac do Amazon EC2.

  3. Na guia Segurança, escolha Modificar Mac, Modificar proteção de integridade do sistema.

  4. Para habilitar todas as configurações de SIP, selecione Habilitar SIP. Para desabilitar todas as configurações de SIP, desmarque Habilitar SIP.

  5. Para especificar uma configuração personalizada que habilite ou desabilite seletivamente configurações de SIP específicas, selecione Especificar uma configuração de SIP personalizada e, em seguida, selecione as configurações de SIP a serem habilitadas ou desmarque as configurações de SIP a serem desabilitadas.

  6. Especifique as credenciais do usuário do volume raiz e do proprietário do disco interno.

  7. Escolha Criar tarefa de modificação de SIP.

AWS CLI
Para criar uma tarefa de configuração de SIP usando a AWS CLI

Use o comando create-mac-system-integrity-protection-modification-task.

Habilitar ou desabilitar todas as configurações de SIP

Para habilitar ou desabilitar completamente todas as configurações de SIP, use somente o parâmetro --mac-system-integrity-protection-status.

O comando de exemplo a seguir habilita todas as configurações de SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Especificar uma configuração de SIP personalizada

Para especificar uma configuração de SIP personalizada que habilite ou desabilite seletivamente configurações de SIP específicas, especifique os parâmetros --mac-system-integrity-protection-status e --mac-system-integrity-protection-configuration. Nesse caso, use mac-system-integrity-protection-status para especificar o status geral da SIP e use mac-system-integrity-protection-configuration para habilitar ou desabilitar seletivamente as configurações individuais de SIP.

O comando de exemplo a seguir cria uma tarefa de configuração de SIP para habilitar todas as configurações de SIP, exceto NvramProtections e FilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

O comando de exemplo a seguir cria uma tarefa de configuração de SIP para desabilitar todas as configurações de SIP, exceto DtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Conteúdo do arquivo mac-credentials.json

O conteúdo a seguir faz parte do arquivo mac-credentials.json mencionado nos exemplos anteriores.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Verificar o status da tarefa de configuração de SIP

Use um dos métodos a seguir para verificar o estado das tarefas de configuração de SIP.

Console
Para visualizar tarefas de configuração de SIP usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação à esquerda, escolha Instâncias e, em seguida, selecione a instância Mac do Amazon EC2.

  3. Na guia Segurança, role para baixo até a seção Tarefas de modificação do Mac.

AWS CLI
Para verificar o estado das tarefas de configuração de SIP usando a AWS CLI

Use o comando describe-mac-modification-tasks.