你提到的这个问题确实很棘手——命令行里的密码、主机名等敏感信息会通过ps aux暴露在进程表中，用hidepid=2又不符合需求。下面是几种更精准的解决方案，按实用性排序：

1. 利用环境变量传递敏感数据 #

很多常用工具（比如MySQL、curl）都支持从环境变量读取敏感参数，完全避免直接写在命令行：

• MySQL示例：先设置环境变量，再执行命令，进程表中不会显示密码：

  export MYSQL_PWD="your_secure_password"
  mysql -h hostname -u username dbname
  

• curl示例：对于认证信息，curl支持通过环境变量传递，避免命令行暴露：

  export CURL_USERNAME="secret_user"
  export CURL_PASSWORD="secret_pass"
  curl -u "$CURL_USERNAME:$CURL_PASSWORD" https://somesite
  

2. 使用专用配置文件 #

将敏感信息存入权限严格的配置文件，让工具自动读取，彻底告别命令行敏感参数：

• MySQL：在~/.my.cnf中添加以下内容（务必设置文件权限为chmod 600 ~/.my.cnf，防止其他用户读取）：

  [client]
  host = hostname
  user = username
  password = your_secure_password
  database = dbname
  

  之后直接运行mysql即可，命令行无任何敏感内容。
• curl：可以用.netrc文件处理HTTP认证（同样设置权限为chmod 600 ~/.netrc）：

  machine somesite
  login secret_user
  password secret_pass
  

  执行curl时只需运行curl https://somesite，工具会自动读取.netrc的认证信息。

3. 从标准输入读取敏感信息 #

大部分支持密码输入的工具都允许从标准stdin读取敏感数据，避免命令行暴露：

• MySQL：使用--password选项但不指定值，通过管道或here-string传递密码（适合脚本场景）：

  # 方式1：管道传递
  echo "your_secure_password" | mysql -h hostname -u username --password dbname
  # 方式2：here-string传递
  mysql -h hostname -u username --password dbname <<< "your_secure_password"
  

  这种方式下，ps aux只会显示mysql的基础命令行，看不到密码内容。
• curl：对于HTTP Basic认证，使用-u username:（冒号后留空），curl会自动从stdin读取密码：

  echo "secret_pass" | curl -u secret_user: https://somesite
  

4. 运行后修改进程argv（进阶方案） #

如果是自己开发的程序，可以在启动后主动修改进程的argv数组，将敏感信息替换为占位符（比如***）。在Linux下，可以通过修改/proc/self/cmdline实现，或者在代码中直接修改argv变量。不过这个方法需要一定的编程能力，适合定制化工具场景。

注意事项 #

• 环境变量虽不会出现在进程表中，但同用户的其他进程可以通过/proc/[pid]/environ读取，多用户共享系统需谨慎使用。
• 所有存储敏感信息的配置文件必须设置严格权限（chmod 600），防止越权读取。
• 避免使用command $(secret-tool get password)这类写法，shell会先展开子命令结果，导致敏感信息暴露在进程表中。

内容的提问来源于stack exchange，提问作者Ajay Gupta