Puppet と MySQL を使用する場合、ルート パスワードを /root/.my.cnf に置き、このファイルをロックしてから、データベース サーバーへの SSH アクセスを制限する傾向があります。
はい、ルート パスワードをクリア テキストで db サーバーに保存することは、最も安全なソリューションではありません。ただし、mysql root パスワードをこのファイルに書き込む場合、localhost からのログインのみを許可するように mysql root アカウントを保護すると、パスワードは puppet からも、プロセス リスト ps からも除外されます。
さらに、誰かが /root/.my.cnf にあるファイルを読み取るルート アクセス権を持っている場合、ローカルの MySQL デーモンを停止し、users テーブルなしでデーモンを再起動してデータベースへのルート アクセス権をすぐに取得するアクセス権も持っている可能性があります。