>ИМХО, в первом приближении можно ограничиться битами доступа,
да но достаточно получить локального рута через любую дырку в ядре и ты имееш полный доступ к БД. а с AFS такой трюк не пройдёт. У ниё своя система прав поверх мод доступа которая ещё ниразу не отказала.
А целесообразности в юзании других шифрованых ФС я особо не вижу. Первый удачный buffer overflow или чёто аналогичное и нам безразлично на какой фс лежит база(шифрованно/нешифрованной).
>Но если ты уже локального рута получил, то тебя уже ничего не остановит
AFS остановит. Когда я только поставил у себя AFS мои коллеги не могли понять чё они под рутом получают permission denied. АФС откровенно забивает на рутовые права и на UID вообще иначе его б уже давно сломали а так мы имеем ФС которую за ~30 лет никто ни разу не смог сломать(точнее ветку AFS2. на тему AFS1 у меня инфы нету). Жаль что на него базу не поставишь ...