Q2. Le chiavi sshd host dovrebbero non essere protette da password. Se lo sono, sshd non può leggerli (a meno che tu non imposti un agente host e lo precarichi, cosa rara). Ciò è dovuto al fatto che sshd è progettato per essere eseguito in background e non può ottenere la / e password / i dall'utente, specialmente perché di solito viene avviato automaticamente all'avvio prima che qualsiasi utente abbia effettuato l'accesso. Invece i file per la chiave sshd host devono essere protetti contro l'accesso da qualsiasi ID utente diverso da quello che esegue sshd , normalmente root, e che userid dovrebbe essere ben protetto e non usato inutilmente.
Q1. sshd non ha bisogno di un file .pub separato perché può calcolare automaticamente il publickey dalla chiave privata. Al contrario il client ssh (a meno che non si usi un agente) di solito vuole usare il publickey per un userauth 'probe' prima chiedendo che la password usi effettivamente la chiave privata, e questo richiede un file .pub separato tranne quando si utilizza il file di chiavi 'nuovo formato' di OpenSSH, che è richiesto per Ed25519 da IIRC 6.5, e l'impostazione predefinita per le chiavi tutte dalla 7.8 circa un mese fa. Poiché ssh-keygen non sa quale vuoi, genera sempre un file .pub , che non danneggia se non necessario, anche se non è protetto, poiché è pubblico.