文件系统挂载的可见性如何受到限制？

是否可以限制该文件系统的可见性，以使其他用户无法查看它

相同的规则适用，就好像它不在加密系统上一样。加密只是改变了磁盘结构的最终存储方式。

这意味着正常的 ACL 控制仍然有效，只是通过一个附加层，其中必须有东西解密文件系统。如果用户对文件系统目录具有读取/执行权限，那么他们将能够像平常一样访问它。

实施的具体步骤因您可以选择加密的文件系统而异。例如，在 ext3/ext4 文件系统上，您可以从挂载点删除全局读取/执行，并适当setfacl地为用户提供对该特定目录树的所需访问级别。

或者甚至看到文件系统已安装？

他们将能够看到文件系统已安装。例如，我可以df作为非特权用户运行：

[jxd87@xxx ~]$ df -hP
Filesystem                                                                        Size  Used Avail Use% Mounted on
/dev/mapper/VG00-LV00                                                             1.5G  438M  966M  32% /
tmpfs                                                                              64G     0   64G   0% /dev/shm
/dev/sda1                                                                         194M   93M   92M  51% /boot
/dev/mapper/VG00-LV02                                                             1.9G  252M  1.6G  15% /opt
/dev/mapper/VG00-tmp                                                              740M  451M  252M  65% /tmp
/dev/mapper/VG00-LV04                                                             1.5G  826M  578M  59% /usr
/dev/mapper/VG00-LV01                                                             1.5G  1.1G  307M  79% /var
/dev/mapper/VG00-log                                                              740M  107M  595M  16% /var/log
/dev/mapper/VG00-audit                                                            740M   31M  671M   5% /var/log/audit
xxx:/ifs/rc170  200G  135G   66G  68% /home/rc170
xxx:/ifs/dco    200G  135G   66G  68% /home/dco
xxx:/ifs/jad87  200G  135G   66G  68% /home/jxd87

我无法告诉你该怎么做，但命名空间是可行的方法。这些都是新的。 Linux 内核支持它们，我想我听说它们也在其他一些内核中。

en.wikipedia.org/wiki/Cgroups#Namespace_isolation Linux 内核上有命名空间，可以隐藏挂载和其他资源。它通常与 cgroup 一起使用来创建轻量级虚拟机（然后所有操作系统都使用相同的内核）。但也可以用于您想做的事情。

请注意，当我使用它们时，我需要 root 权限才能使用它们（这不是严格意义上的真实功能 - 细粒度权限，以执行传统上需要 root 的操作）。因此，您创建的任何工具在完成​​命名空间设置后都应放弃这些权限/功能。