服务器管理员向我发送了一个私钥供使用。为什么？

我应该访问服务器，以便将公司的暂存服务器和实时服务器链接到我们的部署循环中。他们那边的管理员设置了两个实例，然后在服务器上创建了一个用户供我们以SSH身份登录。我已经习惯了这么多。

我现在想到的是，我将把我的公钥发送给他们，该公钥可以放在他们的授权密钥文件夹中。但是，他们却给我发送了一个文件名id_rsa，该文件名中包含-----BEGIN RSA PRIVATE KEY-----通过电子邮件发送的文件名。这正常吗？

我环顾四周，从头开始可以找到大量资源来生成和设置自己的密钥，但是从服务器的私钥开始却无济于事。我应该使用它来为自己生成一些密钥吗？

我会直接问系统管理员，但不想成为一个白痴，浪费大家在我们之间的时间。我是否应该忽略他发送给我的密钥，并要求他们将我的公共密钥放入他们的授权文件夹中？

我现在想到的是，我将把我的公钥发送给他们，该公钥可以放在他们的授权密钥文件夹中。

现在应该发生的事情在您的脑海中是正确的。

电子邮件不是安全的通讯渠道，因此，从适当的安全角度考虑，您（和他们）应该认为私钥已被破坏。

根据您的技术技能和想成为一名外交官，您可以做几件不同的事情。我建议以下之一：

1. 生成您自己的密钥对，并将公共密钥附加到您发送给他们的电子邮件中，说明：

   谢谢！由于电子邮件不是私钥的安全分发方法，您能代替我的公钥吗？它是附加的。

2. 感谢他们，并询问他们是否反对您安装自己的密钥对，因为通过电子邮件发送后，他们发送的私钥应被视为已泄露。

   生成您自己的密钥对，使用他们第一次发送给您的密钥进行登录，并使用该访问权限来编辑authorized_keys文件以包含新的公共密钥（并删除与受破坏的私有密钥相对应的公共密钥。）

底线：您不会看起来像个白痴。 但是，其他管理员可以很容易地看起来像个白痴。良好的外交可以避免这种情况。

根据MontyHarder的评论进行编辑：

我的建议行动方案均不涉及“在不告诉另一位管理员他做错了什么的情况下解决问题”；我只是巧妙地做到了，没有把他扔在公共汽车下。

不过，我会补充一点，我会也跟进（礼貌），如果细微的线索不拾起：

您好，我看到您没有回应我有关电子邮件作为不安全渠道的评论。我确实想确信这种情况不会再次发生：

您了解我为什么要针对私钥的安全处理提出这一点吗？

最好，

托比

我是否应该忽略他发送给我的密钥，并要求他们将我的公共密钥放入他们的授权文件夹中？

是的，这正是您应该做的。私钥的全部意义在于它们是私钥，这意味着只有您拥有私钥。由于您是从管理员那里收到的密钥，因此他也有。这样他就可以在任何时间模仿您。

密钥是否通过安全通道发送给您无关紧要：即使您亲自收到了私钥，也不会改变任何事情。尽管我同意这样的说法，即通过电子邮件发送敏感的加密密钥是轻而易举的事：您的管理员甚至没有假装已经制定了某种安全策略。

在我看来，管理员为您生成了一个私钥/公钥对，将公钥添加到了authorized_keys中并向您发送了私钥。这样，您只需在与服务器的ssh会话中使用此私钥即可。无需自己生成密钥对或向管理员发送公共密钥到您可能已损坏（总是认为最坏的情况：P）的私钥。

但是，我不信任通过未加密邮件发送给您的私钥。

我的方法是：使用私钥登录一次，将您自己的公钥添加到服务器上的authenticated_keys中（替换原始的公钥），然后丢弃此email-private-key。然后，您可能要感谢管理员，他/她/它为您提供了私钥，但是您希望此类信息/密钥不通过电子邮件发送（或完全）。