What comes to my mind is signing the configuration prior to uploading it to the server by a personal private key. Every administrator would have his own.
Isso é essencialmente o que as soluções de estilo segredos em repouso fazem (lista na parte inferior), mas normalmente são executadas no mestre. Thomas A. Limoncelli basicamente argumenta que, sim, o mestre ainda é o SPOF com relação aos segredos, mas se você tem acesso root a essa caixa para obter os códigos em primeiro lugar, você já está bem recheado: você pode simplesmente use o mestre para fazer o que você quiser de qualquer maneira.
No entanto, com um pouco de ferramentas, você pode modificar seu código de gerenciamento de configuração para descriptografar os segredos durante cada ferramenta executada com um GPG confiável sem senha ou similar.
Com o Puppet, também há node_encrypt , que é criptografado com base no certificado do agente. Tenho certeza de que existem soluções semelhantes para outras ferramentas.
Daniel Somerfield tem uma ótima palestra sobre isso chamado "Tartarugas por todo o caminho" resumindo as diferentes ferramentas , com um código de exemplo e revisão dos diferentes métodos .
Lista de vários segredos em soluções de descanso