Ao trabalhar com Puppet e MySQL, costumo colocar a senha de root em /root/.my.cnf, bloquear esse arquivo e restringir o acesso SSH ao servidor de banco de dados.
Sim, armazenar a senha de root no servidor de banco de dados em texto não é a solução mais segura. No entanto, se você escrever a senha root do mysql neste arquivo, proteger a conta root do mysql para permitir logins de localhost somente manterá a senha fora do fantoche, e também fora da lista de processos ps
table.
Além disso, se alguém tiver acesso root para ler o arquivo em /root/.my.cnf, provavelmente também terá acesso para parar o daemon local do MySQL e reiniciar o daemon sem a tabela users para obter acesso root imediato ao daemon. banco de dados.