Se você não quiser remover o pacote ecryptfs-utils , a maneira mais fácil de fazer isso seria remover o bit setuid em /sbin/mount.ecryptfs_private .
Você deve usar uma substituição de estado do dpkg para tornar essa configuração persistente, assim:
dpkg-statoverride --add root root 0700 /sbin/mount.ecryptfs_private
Isso garantirá que ecryptfs-setup-private e ecryptfs-mount-private falhem com um erro EPERM para usuários não-root.
Se isto se tornar um pedido popular, poderíamos facilmente adicioná-lo como uma questão / opção debconf no pacote.