07:17:58 # Life shared subtreeの挙動がよくわからず調べてた。 デフォルトの挙動は結構わかりにくいかも。 clone(NEWNS)で新しいマウントネームスペースにしてもデフォルトのマウントオプションは全部sharedであるということに気づくのと、SharedなのはDentryなので親NSから隠したいのならマウント対象の親ディレクトリをPrivateにしないといけないということに気づくまでなんでこうなるのかよくわからなかった。 確認するには /proc/self/mountinfo. shared:50 とか書いてあるんだけど、これはグループ「50」で共有されているという意味らしい(Documentation/filesystems/proc.txt)。
mount namespace を unshareしたchrootの中で # mount --make-private /home # mount --bind /hogefuga /home/secret-directory