man setfacl

Но вообще даже в твоем случае негативных последствий быть не должно.

man 1 setfacl

setfacl -m u:user-to-whom-you-doesnt-trust:-.

По-моему whitelist тут лучше подходят, чем blacklist. А то через полгода он добавит новую учетку, а эту команду выполнить забудет

В .bashrc umask, или /etc/profile, там както настраиваются права файла по умолчанию

https://wiki.archlinux.org/index.php/umask

http://www.rootfront.com/article/4570101/2012-12-06/

Шифрование. Права доступа не спасут от init=/bin/bash и загрузки с флешки, например.

У меня не кулхацкеры, они браузер с офисом путают, просто у меня там личные файлы, не хочу, чтоб смотрели.

они браузер с офисом путают, не хочу, чтоб смотрели.

Тогда достаточно chmod o-x $HOME

Как я уже писал выше: а с демонами что делать?

Действительно. Тогда пусть ТС сделает так:

$ chmod go= /home/vsevolod
$ setfacl -m u:trusted-user:r
$ ...
$ setfact -m g:trusted-group:r
$ ...

Добавь нужных демонов в белый список через setfacl. Хотя я не могу представить, каким демонам это нужно.

Проще лишних пользователей в черный, их всего-то пара человек.

Ну хз, в моем дистре по умолчанию на $HOME права такие drwx------ и небыло причин что-то менять.

А демоны? Как я узнаю, каких добавлять? Лочить всех и смотреть, какие ругаются? Проще ЧС, у меня всего пара человек, помимо меня.

Собственно, если бы не демоны, то команды, что я написал в теме, вполне хватило бы.

А какой у тебя?

Конкретно на этом компе - openSUSE. Только он у меня кучу раз обновлен с лохматых версий, не уверен, что при чистой установке будет также. Надо бы проверить, что там на других компах.

На Федоре-24 тоже права /home/user drwx------ и никакие пользователи не могут читать файлы в чужом домашнем каталоге!
А процессам-демонам тоже не нужны файлы пользователей!

А как же всякие /home/user/.config?

Системным демонам наплевать на /home/user/.config А те, которые читают конфиг пользователя, запущены от имени пользователя и могут читать только файлы своего пользователя!

А каким демонам что нужно в домашней папке?

Если запустишь свою команду, то Samba отвалится, точнее шары будут не доступны в твоей домашней директории. А так вроде все остальное работает нормально.