Том зашифрован с использованием cryptsetup. После cryptsetup open ... не отображается ли подключенное устройство на чтение всеми пользователями на хосте? Если они знают файловую систему, они могут легко извлечь содержимое всех файлов.
Погуглив, я не мог понять, почему это не считается проблемой.
Да, это правда - с обычными ограничениями доступа к файловой системе, конечно.
Что касается того, почему это не считается проблемой:
Это зависит от модели угрозы, то есть от атак и атакующих, о которых вы беспокоитесь. Как правило, шифрование файловых систем полезно только в качестве защиты от физических атак на оборудование (например, его кража).
Если у злоумышленника есть доступ к сети во время работы системы или даже учетная запись в системе, шифрование файловой системы не поможет. Тем не менее, в этом случае обычные разрешения файловой системы помогают, что хорошо показывает, как различные меры безопасности дополняют друг друга.
Это хорошо известно. Например, Ubuntu "Зашифрованная файловая система Howto" предупреждает:
Панацея и черные ящики
Не забывайте, что это НЕ идеальная система. Он по-прежнему уязвим для атак различными способами, наиболее очевидным из которых является атака в режиме онлайн. Если вы сможете получить доступ к вашим зашифрованным данным, то любой, кто войдет в систему, тоже будет в ней. [...]
Как правило, узел устройства, созданный устройством отображения (/dev/mapper/...), не доступен для чтения всем. В /dev/mapper мы видим:
lrwxrwxrwx. 1 root root 7 27. Jan 11:01 remote-backup -> ../dm-0
указывая на (обратите внимание, что права доступа к указанному узлу, а не разрешения символической ссылки выше, имеют значение):
brw-rw----. 1 root disk 253, 0 27. Jan 11:01 ../dm-0
Таким образом, пользователь должен либо находиться в группе disk либо быть пользователем root, чтобы получить доступ к необработанному содержимому сопоставленного устройства. Ненадежный пользователь, конечно, никогда не должен иметь этих привилегий, иначе будет возможно не только чтение, но и уничтожение данных.
(Приведенный выше вывод находится на нормально настроенной Fedora. Ваш пробег может отличаться в разных системах)