> А бекап (файловый, от рута) при такой схеме конечно не сделаешь, надо либо расшифровать, либо бекапить шифрованное, уровень логики менять. Проблема в чем? В чем разница копирования отдельно взятого файла на примонтированнлй фс, с копированием блока с раздела на диске?
> Сменив логику, вам и руту не надо давать пароль от юзера, а восстановление отдельно взятого файла можно производить временным монтированием раздела к mnt вводи пароль и гуляй вася.Если зашифровано только содержимое файлов, а всё остальное - имена файлов, их аттрибуты, структура каталогов не зашифрованы, то есть файлы можно копировать, удалять и т.п. без расшифровки, то тогда конечно и рутовый бэкап и восстановление зашифрованных файлов возможны без проблем. Такая схема работала бы прекрасно для бэкапа. Конечно возникнут проблемы со всякими пользовательскими кронами, которые должны будут в этом случае запускаться только после того как пользователь залогинился, но это уже другая история.
Но так как в статье речь идёт о "подключении зашифрованного каталога при входе пользователя в систему", боюсь всё же предлагается нечто другое. То есть структура каталогов, аттрибуты и имена файлов будут недоступны, а значит и бэкап на уровне файлов станет просто невозможен. Бэкап же на уровне блоков файловой системы это совсем другое, с удобством и эффективностью файлого бэкапа несравнимо.
Я бы приветствовал, если бы появилась возможность поставить аттрибут "зашифровано" на отдельные файлы и каталоги, для шифрования содержимого файлов.