Bezpieczne trzymanie haseł w aplikacji do backupów

Chcę napisać aplikację do backupów serwerów o następującej funkcjonalności:

• robienie backupów bazy danych poprzez sql dumpy do zdalnego repozytorium,
• backup file systemu + pomijanie tego co jest w /etc/backupctl/excludes
• zczytywanie konfiguracji na podstawie tego co jest w pliku /etc/backupctl/backupctl.conf

Jak ogarnąć bezpieczne przechowywanie haseł na malince i serwerze vps do centralnych repozytoriów z backupami? Zależy mi na tym by w przyszłości łatwo dało się odtworzyć konfigurację z użyciem takich narzędzi jak Ansible czy jakichś skryptów w Pythonie do automatyzacji

Czy lepiej będzie zczytać hasła do zdalnych repo z pliku tekstowego z chmod 600 w katalogu domowym użytkownika restic, użyć zmiennych środowiskowych czy lepiej zrobić jakiegoś prostego vaulta z użyciem odpowiednich modułów Pythona?

najlepiej jak bakupowany nie zna hasła, czyli lepsza koncepcja to "pull backup"

Sytuacja prezentuje się tak:

Mają być dwa repozytoria na backupy, servers i desktops. VPS ma być backupowany na malinkę i do rsync.net, a malinka bezpośrednio do rsync.net. Na rpi też będzie stać centralny serwer logów. Z kolei laptop i desktop mają być bezpośrednio backupowane do desktops na rsync.net. W przyszłości planuję dołożyć serwery specjanie pod backupy do mojej sieci lan.

Czy "pull backup" ma sens w przypadku backupu vps/desktop -> zdalne repo w rsync.net? Jak tu zadbać o bezpieczeństwo backupu? Pytam bo nie chcę żeby dostawca usługi rsync.net znał hasło do repo z backupami desktopa ani serwerów.