In my mind now what would happen is I would send them my public key which could be placed inside their authorized keys folder.
O que está "na sua cabeça", como o que deve acontecer agora, está correto.
E-mail não é um canal seguro de comunicação, portanto, do ponto de vista da segurança adequada, você (e eles) devem considerar essa chave privada comprometida.
Dependendo da sua habilidade técnica e da sua diplomacia, você pode fazer várias coisas diferentes. Eu recomendaria uma das seguintes opções:
-
Gere seu próprio par de chaves e anexe a chave pública a um e-mail que você envia para eles, dizendo:
Thanks! Since email isn't a secure distribution method for private keys, could you please put my public key in place, instead? It's attached.
-
Agradeça-lhes e pergunte se eles se opõem a você instalar seu próprio par de chaves, já que a chave privada que eles enviaram deve ser considerada comprometida depois de ter sido enviada por e-mail.
Gere seu próprio par de chaves, use a chave que eles enviaram a você para fazer login pela primeira vez e use esse acesso para editar o arquivo
authorized_keys
para conter a nova chave pública (e remova a chave pública correspondente à chave privada comprometida .)
Resumindo: Você não parecerá um idiota. Mas, o outro administrador pode ser feito para parecer um idiota com muita facilidade. Boa diplomacia poderia evitar isso.
Editar em resposta aos comentários da MontyHarder:
Nenhum dos meus cursos sugeridos de ação envolve "consertar as coisas sem dizer ao outro admin o que ele fez de errado"; Eu apenas fiz tão sutilmente sem jogá-lo debaixo do ônibus.
No entanto, eu acrescentarei que eu também continuaria (educadamente) se as pistas sutis não fossem percebidas:
Hello, I saw you didn't respond to my comment about email as an insecure channel. I do want to be confident that this won't happen again:
Do you understand why I'm making this point about the secure handling of private keys?
Best,
Toby