У меня есть экземпляр EC2, который настроен как SFTP-сервер с использованием OpenSSH. Он позволяет подключаться только к IP-адресам из белого списка через TCP-порт 22 (ограниченный группой безопасности EC2). У меня постоянно есть клиенты, которые пытаются подключиться с других IP-адресов, которые не были внесены в белый список. Я хотел бы отслеживать эти попытки подключения и IP-адреса, с которых они происходят, чтобы помочь им определить их IP-адреса.
Можно ли увидеть эти IP-адреса с сервера? Могу ли я также увидеть попытку подключения и получить имя пользователя SFTP?
В AWS есть функция под названием Журнал потоков VPC который захватывает весь трафик, поступающий в VPC, определенную подсеть или определенный сетевой интерфейс. Вы можете настроить журнал VPC Flow, и эти журналы затем будут добавлены в AWS CloudWatch. Он дает очень информативную информацию журнала, и вы можете отфильтровать свой запрос по ней. Узнать больше на Журнал потоков AWS VPC
Если вы хотите увидеть потерянный трафик, вам нужно внести в белый список брандмауэр, работающий на вашем экземпляре EC2, а не в инфраструктуре AWS. (Ваш сервер не может регистрировать / видеть трафик, который он не получает).
Возможно, вы захотите изучить что-то вроде Fail2Ban.
Небольшой совет: есть бот-сети, которые будут пытаться подключиться к вашему IP (особенно на EC2) через SSH, используя слабые имена пользователей и пароли. Вы только сведете себя с ума, пытаясь отследить каждую неудачную попытку входа в систему или попытку подключения. Одна коробка может получать сотни таких в день; вы были предупреждены.