Não creio que haja muitas opções para fazer isso que também não resultem em mais credenciais para o usuário inquisitivo.
Por exemplo, o bash tem a opção de excluir automaticamente os 'comandos' (ou mais especificamente, 'entradas') do registro no arquivo de histórico por meio da variável HISTIGNORE , que é uma lista separada por dois pontos. combinações de texto (com globbing) para ignorar. Por exemplo, você pode adicionar myP4* à variável HISTIGNORE para que seja excluído myP455w0Rd de ser gravado, no entanto isso exporia a primeira parte da senha a qualquer um que se importasse, que poderia adivinhar qual era essa exclusão .
Como alternativa, você poderia ter uma tarefa cron executada em um intervalo razoavelmente freqüente que inspecione e remova tais entradas do arquivo .bash_history (ou equivalente para o seu shell), mas que poderia potencialmente expor a correspondência (e assim satisfaria essa correspondência) para qualquer um que se importasse em parecer (embora um pouco mais seguro se for um cronjob para root).
A melhor resposta nesta situação é ensinar seus usuários a serem mais cuidadosos ao digitar qualquer coisa no console; especialmente se forem usuários confiáveis no acesso root à máquina! Pense no ditado (um tanto modificado): "olhe duas vezes, execute uma vez" - se eles estão fazendo qualquer coisa que envolva acesso ao sistema, a segurança já deve estar em suas mentes!