Pode valer a pena olhar para o Padrão de Hierarquia do Sistema de Arquivos , que descreve em que consistem os vários sistemas de arquivos (do ponto de vista dos padrões, nem todos precisam segui-lo), o que permitirá que você saiba onde os dados personalizados podem ser armazenados. No entanto, a resposta curta é - em qualquer lugar que um aplicativo queira armazená-lo e tenha permissão para armazená-lo.
Geralmente, os usuários não administradores só têm acesso de gravação a /tmp/ , /home/user , /var/tmp/ , alguns diretórios em /run/ (/ run / lock e / run / shm por exemplo).
No entanto, o daemon de e-mail e o daemon de impressão, que em teoria poderiam ser usados para armazenar dados personalizados em arquivos, se temporariamente, têm acesso de gravação a locais em /var/spool/ . O Syslog poderia, em teoria, armazenar informações pessoais, dependendo de como os usuários interagem com o sistema e, portanto, poderia haver conteúdo em /var/log/ .
Nada disso abrange outros produtos que possam estar criando dados em outros locais ( /opt/ , /srv/ , em qualquer outro local em que eles estejam configurados para fazer isso).
Fazer isso aos poucos será complexo.
NB: Há um resumo da ESF na Wikipédia .