Como posso ver endereços IP tentando se conectar ao meu Amazon EC2?

1

Eu tenho uma instância do EC2 que é configurada como um servidor SFTP usando o OpenSSH. Permite apenas conexões em IPs permitidos por meio da porta TCP 22 (limitada por meio de um grupo de segurança do EC2). Eu sempre tenho clientes tentando se conectar de outros IPs que não foram whitelisted. Gostaria de acompanhar essas tentativas de conexão e os IPs de onde vieram, para que eu possa ajudá-los a descobrir seus endereços IP.

É possível ver esses endereços IP do servidor? Também posso ver a tentativa de conexão e obter o nome de usuário do SFTP?

    
por T. Brian Jones 15.01.2016 / 00:07

2 respostas

3

O AWS tem um recurso chamado VPC Flow Log que captura todo o tráfego que chega a um VPC ou a uma sub-rede específica ou a uma interface de rede específica. Você pode configurar o log de fluxo do VPC e, em seguida, esses logs são preenchidos no AWS CloudWatch. Ele fornece uma informação de registro muito descritiva e você pode filtrar sua consulta a partir dela. Verifique mais em Log de fluxo do AWS VPC

    
por 15.01.2016 / 11:46
1

Se você quiser ver o tráfego perdido, precisará fazer a lista de desbloqueio usando um firewall em execução na instância do EC2, não na infraestrutura da AWS. (Seu servidor não pode registrar / ver o tráfego que não recebe).

Você pode querer procurar algo como o Fail2Ban.

Um conselho, existem redes bot que tentarão se conectar ao seu IP (especialmente no EC2) via SSH usando nomes de usuários e senhas fracos. Você só ficará insano tentando localizar todas as tentativas de login ou tentativas de conexão. Uma única caixa pode receber centenas desses por dia; você foi avisado.

    
por 15.01.2016 / 00:17

Tags