我有一个使用OpenSSH作为SFTP服务器的EC2实例。 它只允许通过TCP端口22连接白名单IP(通过EC2安全组进行限制)。 我经常有客户尝试从其他未被列入白名单的IP连接。 我想跟踪那些尝试的连接和他们来自的IP,所以我可以帮助他们找出他们的IP地址。
有没有可能从服务器上看到这些IP地址? 我也可以看到连接尝试,并获得SFTP用户名?
AWS具有一个名为VPC Flow Log的function,可捕获进入VPC或特定子网或特定networking接口的所有stream量。 您可以设置VPC Flow日志,然后将这些日志填充到AWS CloudWatch。 它给出了一个非常具有描述性的日志信息,你可以从中过滤你的查询。 查看AWS VPC Flow Log的更多信息
如果您希望看到丢失的stream量,则需要使用运行在您的EC2实例上的防火墙执行白名单,而不是AWS基础架构。 (您的服务器无法logging/查看未收到的stream量)。
你可能想看看像Fail2Ban的东西。
一个build议的话,有僵尸networking将尝试连接到您的IP(特别是在EC2)通过SSH使用弱用户名和密码。 你只会开车疯狂试图追查每一个失败的login尝试或尝试连接。 一个盒子每天可以得到数百个; 你被警告了。