Protegendo o arquivo de configuração contendo senhas de texto simples apenas com permissões do sistema de arquivos?

Eu li muitas postagens e perguntas sobre a maneira mais segura de proteger seus arquivos de configuração do servidor, que contêm informações confidenciais, como senhas. As 3 principais recomendações que encontrei até agora são:

• não coloque suas informações confidenciais no controle de origem (OK)
• definir senhas e outras credenciais como variáveis de ambiente (?)
• verifique se os arquivos que contêm essas variáveis têm as permissões certas para que ninguém possa lê-los (?)

Minha implantação é para que eu tenha criado um usuário normal para o servidor (sem privilégios especiais) e o arquivo de configuração esteja em seu diretório pessoal. É o suficiente se eu definir permissões para este arquivo para 600? chmod 600 ~/config ? Por que eu precisaria de variáveis de ambiente, pois elas também são armazenadas em texto simples em um arquivo? existe alguma maneira de eu ser mais seguro do que isso?