In der Alternative 1: Absolut. Das mag nicht das von vielen gezeigte Standard-Vorgehen sein, aber es spricht nichts dagegen, das auf dem Server zu tun.

Standard sollte Alternative 2 sein, vor allem wenn man mit mehreren Clients arbeitet.

Man kann das Lied singen wie man will: Am Ende muss man den privat key gut geschützt auf dem Client und den public key in der Datei ~/.ssh/authorized_keys auf dem Server haben. Alles andere ist (wird) nach dieser Verteilung eigentlich überflüssig.

Ja, Zustimmung.

Ich möchte noch erwähnen, dass der root-Zugriff via ssh bei uns im Konzern unter Strafe verboten ist und root-Rechte maximal via sudo.