Mais du coup vous ne les mettez jamais à jour ?
Ce qui ne réponds pas aux questions :)
Ma première idée est d'avoir un script qui va se connecter sur tous les serveurs avec un compte qui a sudo pour changer le mot de passe qu'on a pré-généré.
Ca, ça sera pas trop compliqué à mettre en place je crois, ya un noeud d'admin qui a ces accès, et le script ne doit pas être trop tordu à faire.
Mais il y a peut-être mieux ou plus simple.
Et surtout, après c'est la partie KeePass qui m'embête, car vraiment pas envie de mettre à jour plusieurs dizaines de mots de passes à la main :)
Surtout qu'on va avoir les compte root dans mysql à faire aussi ensuite, aussi dans un KeePass