Eu segui as instruções para usar a criptografia do ext4 aqui:
Como criar uma partição criptografada em ext4 no Ubuntu 15.04 com o novo kernel 4.1?
Tudo funciona bem. Mas, se os arquivos forem decifrados para o usuário proprietário, quando eu fizer login como um usuário diferente, posso ver os arquivos criptografados sem criptografia. Os arquivos são legíveis por todo o mundo, mas a chave está apenas no chaveiro do usuário proprietário, por isso tenho certeza de que isso não deve ser permitido.
O problema pode estar relacionado ao armazenamento em cache de inodes. Quando eu faço:
echo 2 > /proc/sys/vm/drop_caches
Em seguida, os arquivos ficam novamente inacessíveis para o segundo usuário. Mas, assim que o primeiro usuário acessa os arquivos (com a chave no anel de chaves da sessão), os arquivos tornam-se novamente visíveis para o segundo usuário.
Eu devo estar fazendo algo descaradamente errado, mas não sei o que.
Estou no kernel 4.4.0-33-generic usando o pré-lançamento do Yakkety Yak (Ubuntu 16.10).
Confirmei com Ted Ts'o (um dos principais autores da criptografia ext4) que ele não foi projetado para funcionar da maneira que eu achava que poderia. Não é para fornecer o tipo de isolamento "de nível de processo" de conteúdo decifrado que eu esperava. Restrições de acesso comuns (propriedade de arquivo e perms) ainda devem ser usadas para impedir que outros usuários acessem arquivos.