Ssh
如何查看嘗試連接到我的 Amazon EC2 的 IP 地址?
我有一個 EC2 實例,它使用 OpenSSH 設置為 SFTP 伺服器。它只允許通過 TCP 埠 22(受 EC2 安全組限制)在白名單 IP 上的連接。我經常讓客戶嘗試從他們沒有被列入白名單的其他 IP 進行連接。我想跟踪這些嘗試的連接以及它們來自的 IP,以便我可以幫助他們找出他們的 IP 地址。
是否可以從伺服器查看這些 IP 地址?我還可以查看連接嘗試並獲取 SFTP 使用者名嗎?
AWS 有一個稱為VPC 流日誌的功能,它可以擷取進入 VPC 或特定子網或特定網路介面的所有流量。您可以設置 VPC Flow 日誌,然後將這些日誌填充到 AWS CloudWatch。它提供了非常描述性的日誌資訊,您可以從中過濾查詢。在AWS VPC 流日誌上查看更多資訊
如果您想查看丟棄的流量,您需要使用執行在您的 EC2 實例上的防火牆而不是 AWS 基礎設施來創建白名單。(您的伺服器無法記錄/查看它沒有收到的流量)。
您可能想研究類似 Fail2Ban 的東西。
提個建議,有些殭屍網路會嘗試使用弱使用者名和密碼通過 SSH 連接到您的 IP(尤其是在 EC2 上)。你只會讓自己發瘋,試圖追踪每一次失敗的登錄嘗試或連接嘗試。一個盒子一天可以得到數百個;你被警告了。