Cuando trabajo con Puppet y MySQL, tiendo a poner la contraseña de root en /root/.my.cnf, bloqueo este archivo y luego restrinjo el acceso SSH al servidor de la base de datos.
Sí, almacenar la contraseña de root en el servidor de base de datos en texto no cifrado no es la solución más segura. Sin embargo, si escribe la contraseña raíz de mysql en este archivo, asegurar la cuenta raíz de mysql para permitir inicios de sesión solo desde localhost mantendrá la contraseña fuera de la marioneta y también fuera de la lista de procesos ps mesa.
Además, si alguien tiene acceso de root para leer el archivo en /root/.my.cnf, probablemente también tenga acceso para detener el demonio MySQL local y reiniciar el demonio sin la tabla de usuarios para obtener acceso inmediato a la base de datos.