启用 SFTP 登录截获

当用户使用 SFTP 登录到端点时，SFTP 应用程序使用 SSH 来验证该用户。当 CA ControlMinder 拦截来自 SFTP 应用程序的登录尝试时，默认情况下，会将登录视为 SSH 登录并使用 SSH LOGINAPPL 记录的规则允许或拒绝登录尝试。

要配置 CA ControlMinder 来辨别 SFTP 登录和 SSH 登录并为 SFTP 和 SSH 登录编写各自的规则，您必须启用 SFTP 登录截获。

启用 SFTP 登录截获

在端点上打开命令提示符窗口。
输入以下 selang 命令：
```
er LOGINAPPL SSH loginflags(EXECLOGIN)
```
该命令指定 SSH 登录的触发器是进程执行的第一个 EXEC 操作。
输入以下 selang 命令：
```
er LOGINAPPL SFTP loginpath(path) defaccess(a)
```
loginpath(path)

指定 SFTP 登录应用程序的完整路径。

该命令创建名为 "SFTP" 的 LOGINAPPL 记录，定义了 SFTP 登录应用程序的路径，并指定如果没有其他的限制存在，所有用户都可以使用 SFTP 登录到端点。

示例：启用 SFTP 登录截获

该示例为位于 /usr/libexec/openssh/sftp-server 的 SFTP 登录应用程序启用 SFTP 登录截获。第一个 selang 命令还指定了 CA ControlMinder 将 PAM 登录截获用于 SSH 登录：

er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN)
er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)

注意：有关 LOGINAPPL 类的详细信息，请参阅《selang 参考指南》。

更多信息：