Предполагаю, что можно сделать его зашифрованным через openssl и именно его синхронизировать или даже версионировать через git (или оставить текущую схему с ансибл). При входе в систему расшифровывать его, кладя в RAM и подключать через "source .bashrc". Работать. После окончания рабочего дня расшифрованный файл надо удалить (ну или изначально при начале работы класть его в RAM).
Но в этот файл регулярно вносятся изменения, бывает раз в день, а бывает лишь один раз в месяц.
Не самый плохой вариант шифровать через openssl.
Только зачем расшифровывать файл? Расшифровывайте прямо в память во время использования
то есть в .bashrc можно например так
dbuser=database_user
dbpass="$(openssl enc -d -base64 -aes-128-ctr -nopad -k secret_key.txt<<<"l1k2j3kl14jjkl321h4lk124123;ljk2`13jlkj")"
Синтаксис из головы написал, надо уточнить как указать путь к файлу с мастер секретом.
При этом файл остается зашифрованным, но в текущей сесии переменная уже с открытым паролем.
Либо можно сделать несколько файлов подобного типа и инклюдать их в скрипты прямо перед использованием.
