Wenn ich mit Puppet und MySQL arbeite, neige ich dazu, das Root-Passwort in /root/.my.cnf abzulegen, diese Datei zu sperren und dann den SSH-Zugriff auf den Datenbankserver einzuschränken.
Ja, das Speichern des Root-Passworts auf dem DB-Server im Klartext ist nicht die sicherste Lösung. Wenn Sie jedoch das mysql-Root-Passwort in diese Datei schreiben und das mysql-Root-Konto sichern, um Anmeldungen nur von localhost zuzulassen, wird das Passwort von Puppet und auch von der Prozessliste ps ferngehalten Tabelle.
Wenn außerdem jemand Root-Zugriff hat, um die Datei unter /root/.my.cnf zu lesen, dann hat er wahrscheinlich auch Zugriff, um den lokalen MySQL-Daemon zu stoppen und den Daemon ohne die Benutzertabelle neu zu starten, um sofortigen Root-Zugriff auf die Datenbank zu erhalten.