Что-то не могу нормально зашифровать файлы

Слегка соврал.

А) ссылка на опеннет такая: http://www.opennet.ru/opennews/art.shtml?num=4464

Б) именно при выключении света такого не происходит (как выяснилось). Такое происходит при нормальном логауте. То есть надо добавить какой-то logout-скрипт, который размонтирует хранилище. Но если кто-то получит права root, то сможет этот скрипт, скажем, удалить и получит доступ к информации. Так что требование остаётся.

> Как сделать хранилище такое, чтобы пользователю _приходилось_ каждый раз его монтировать?

То что примонтировано с fusermount не то что другой пользователь, а даже рут не увидит, если специально не сказать allow_others при монтировании.

если encfs-то создавался с "параноидальными" настройками, но содержимое тома недоступно руту. А так в Дебиане (Убунту) есть графическая приблуда, позволяющая отмонтировать encfs систему, если к ней не было обращения в течение некоторого времени. Утилита называется cryptkeeper.

Вот "fusermount -u" было как раз про encfs. Ну если всё так
надёжно - попробую, только вот нужен не GUI, а как раз CLI
(скрипты привязываются к логону в gdm). Encfs задаёт много
вопросов, как на них отвечать скриптом?

Делал:
echo x | encfs ... -S
вроде бы принимает x как ответ на первый вопрос, а дальше?..

>рут не увидит

# su - paranoik
$ cd ~/encryptedfs

>Есть задача - зашифровать несколько небольших файлов.

туда

$ tar -c secret/ |bzip2|gpg -c > secret.tbz2.gpg && find secret/ -type f -execdir shred -uz '{}' \; && rm -rf secret/

обратно

$ gpg secret.tbz2.gpg && tar -xvjf secret.tbz2 && rm -v secret.tbz2*

Но если файлы большие, лучше (по времени) использовать зашифрованные разделы диска ( при помощи cryptsetup )

Надо прозрачно, на лету. А файлы небольшие.

>обратно

>$ gpg secret.tbz2.gpg && tar -xvjf secret.tbz2 && rm -v secret.tbz2*

Так лучше:

$ gpg secret.tbz2.gpg && tar -xjf secret.tbz2 && shred -uz secret.tbz2.gpg secret.tbz2