O Ecryptfs foi projetado para criptografar o diretório inicial de um usuário. Embora possa ser usado de outra forma, não foi projetado para isso e não será fácil de configurar.
O Ecryptfs normalmente é montado no momento do login, portanto, ele só pode criptografar os dados do usuário. Os dados de um usuário normalmente estão no diretório inicial do usuário, é para isso que o diretório inicial é.
Arquivos de todo o sistema não podem ser criptografados com ecryptfs, a menos que você o monte antes de efetuar login. Mas, se é isso que você quer, não há sentido em usar o ecryptfs: seria mais difícil de configurar e seria mais lento do que usar LUKS / dmcrypt para criptografar todo o sistema de arquivos, e não haveria nenhum benefício de segurança. Usar o ecryptfs para proteger um diretório inicial tem uma vantagem sobre a criptografia de disco inteiro quando você quer que a máquina seja inicializada autônoma, mas deseja que o arquivo do usuário seja protegido até que o usuário efetue login. Se a descriptografia ocorrer antes de efetuar login, não adianta usar ecryptfs.
Procurando por dependências de pam_exec.so é fútil. O que você precisa antes de entrar é um monte de serviços do sistema. O módulo pam_exec é apenas uma parte do processo de login, o resto do processo de login também precisa estar disponível, assim como o programa de login, o subsistema de registro, todos os programas usados para inicializar dispositivos e muitos outros sistemas. Serviços. Se você quiser que tudo isso seja criptografado, precisará de algo que solicite a chave de descriptografia muito cedo no processo de inicialização, e a maneira de fazer isso é criptografia de todo o disco, com o LUKS.