Quando lavoro con Puppet e MySQL, tendo a inserire la password di root in /root/.my.cnf, bloccare questo file e quindi limitare l'accesso SSH al server del database.
Sì, la memorizzazione della password di root sul server db in testo non crittografato non è la soluzione più sicura. Tuttavia, se scrivi la password di root mysql in questo file, proteggere l'account root mysql per consentire gli accessi solo da localhost manterrà la password fuori dal pupazzo e anche dall'elenco dei processi ps tabella.
Inoltre, se qualcuno ha accesso root per leggere il file in /root/.my.cnf, probabilmente ha anche accesso per arrestare il demone MySQL locale e riavviare il demone senza la tabella degli utenti per ottenere l'accesso root immediato al database.