Как я могу увидеть IP-адреса, пытающиеся подключиться к моему Amazon EC2?
У меня есть экземпляр EC2, который настроен как SFTP-сервер с использованием OpenSSH. Он позволяет подключаться только к IP-адресам из белого списка через TCP-порт 22 (ограниченный группой безопасности EC2). У меня постоянно есть клиенты, которые пытаются подключиться с других IP-адресов, которые не были внесены в белый список. Я хотел бы отслеживать эти попытки подключения и IP-адреса, с которых они поступают, чтобы помочь им определить их IP-адреса.
Можно ли увидеть эти IP-адреса с сервера? Могу ли я также увидеть попытку подключения и получить имя пользователя SFTP?
AWS имеет функцию под названием VPC Flow Log , которая захватывает весь трафик, поступающий в VPC, определенную подсеть или определенный сетевой интерфейс. Вы можете настроить журнал VPC Flow, и эти журналы затем будут добавлены в AWS CloudWatch. Он дает очень информативную информацию журнала, и вы можете отфильтровать свой запрос по ней. Дополнительные сведения см. В AWS VPC Flow Log
Если вы хотите увидеть потерянный трафик, вам нужно внести в белый список, используя брандмауэр, работающий на вашем экземпляре EC2. , а не инфраструктуру AWS. (Ваш сервер не может регистрировать / видеть трафик, который он не получает.)
Вы можете изучить что-то вроде Fail2Ban.
Небольшой совет: есть бот-сети, которые будут пытаться подключиться к вашему IP ( особенно на EC2) через SSH с использованием ненадежных имен пользователей и паролей. Вы только сведете себя с ума, пытаясь отследить каждую неудачную попытку входа в систему или попытку подключения. Одна коробка может получать сотни таких в день; вы были предупреждены.