<br><tt><font size=2>freenx-knx-bounces@kde.org wrote on 01/08/2013 14:14:39:<br>
<br>
> Hi,</font></tt>
<br><tt><font size=2>> <br>
> Maybe I found a better way, at least for my case. I edited <br>
> /etc/ssh/sshd_config with these fields:</font></tt>
<br><tt><font size=2>> <br>
> PermitRootLogin without-password</font></tt>
<br>
<br><tt><font size=2>Hmm, your choice, but I think root should never log
in.</font></tt>
<br>
<br><tt><font size=2>> PasswordAuthentication no</font></tt>
<br><tt><font size=2>> Match Address 127.0.0.1<br>
>     PasswordAuthentication yes</font></tt>
<br><tt><font size=2>> <br>
> In this way I allow password-authentication only from localhost (so
<br>
> from the nx shell), and key-based authentication from the outside.</font></tt>
<br><tt><font size=2>> I'm providing to the users a very limited Fluxbox-based
graphical <br>
> interface and I'm not going to give them access to the local shell.
<br>
> In this way they aren't going to be able to copy their ssh keys locally.</font></tt>
<br><tt><font size=2> <br>
I haven't ever bothered moving over to "match address"</font></tt>
<br><tt><font size=2>        (call me over
cautious if you wish)</font></tt>
<br><tt><font size=2>but it certainly saves having two sets of config files
and startup scripts. </font></tt>
<br>
<br><tt><font size=2>If I was you I'd keep any match(es) right at the end
of the</font></tt>
<br><tt><font size=2>sshd_config file.</font></tt>
<br>
<br><tt><font size=2>Watch out for them emailing themselves . . . . </font></tt>
<br>