Risposte:
Se abiliti la Crittografia directory principale di Ubuntu, la tua $HOMEdirectory avrà i permessi 700 ( rwx------) quando è montato e i permessi 500 ( r-x------) quando non è montato. Questo significa che sei l'unico utente non root che sarà in grado di leggere / scrivere / sfogliare la tua home directory quando è montata. E quando non è montato, sarai in grado di leggere / navigare, ma non modificare il contenuto della tua home directory. Questo ha lo scopo di impedirti di scrivere inavvertitamente dati non crittografati nella tua home directory.
Ciò è in contrasto con le autorizzazioni predefinite della home directory di Ubuntu, che sono 755 ( rwxr-xr-x). Tale autorizzazione consente a qualsiasi utente locale del sistema di leggere e sfogliare la propria directory home. Questa impostazione predefinita è stata scelta per Ubuntu molto, molto tempo fa nell'interesse della "condivisione" e dell '"apertura".
Questi sono chiamati Discretionary Access Controls (DAC) e provengono dai primi giorni dello stesso UNIX.
L'utente root (forse tramite sudo, come accennato in precedenza), ha il privilegio di accedere a qualsiasi file o directory, indipendentemente dalle autorizzazioni DAC in atto. Ciò significa che sì, mentre la home directory è montata, l'utente root è in grado di navigare nella home directory.
Tuttavia, quando la directory principale non è montata, l'utente root avrebbe bisogno della passphrase di accesso (o, più specificamente, della passphrase di montaggio generata casualmente) per montare e decrittografare i dati.
In generale, il filesystem crittografato che utilizziamo (eCryptfs) ha lo scopo di proteggere i tuoi dati a riposo sul disco rigido, piuttosto che proteggerti dal tuo utente root.
Divulgazione completa: sono l'autore della funzione Encrypted Home Directory di Ubuntu e l'attuale manutentore di eCryptfs.