接続されたクライアントとは異なる名前空間でsshデーモンを実行します

ああ、私は解決策を見つけました：netnsは既知の名前空間を/var/run/netns/に保存します。これらは、man namespaces内の名前空間ファイル（/proc/<PID>/ns/）に他なりません。

したがって、通常は存在しない場合でも、そこにinit名前空間を追加できます。

ln -s /proc/1/ns/net /var/run/netns/init

次に、sshdのオプションを使用して、クライアントが接続するときにその名前空間でシェルを開くように強制できます。

-o ForceCommand='Sudo ip netns exec init Sudo /bin/bash --login'

したがって、デーモンは指定された非init名前空間で引き続き実行されますが、クライアントは接続してすぐにinit（PID 1）ネットワーク名前空間に入ります。

N.B. root（！）にジャンプする代わりに、接続しているユーザーを維持し、getent passwdを使用して通常のログインシェルを取得することもできます。

# instead of Sudo /bin/bash
# *important*: we give ForceCommand='' in *single* quotes
#     so `whomai` et al. are not evaluated until the ForceCommand is invoked.
Sudo --user="$(whoami)" "$(getent passwd "$(whoami)" | cut -d: -f7)"

コマンドの先頭にあるssh user@Host cmdからコマンドをプルして、クライアント（$SSH_ORIGINAL_COMMAND）から提供されたコマンドを保持します。