Una vez abierto, ¿un volumen cifrado mediante cryptsetup no es legible para todos los usuarios?

En general, el nodo de dispositivo creado por el asignador de dispositivos ( /dev/mapper/...) no es legible en todo el mundo. En /dev/mappervemos:

lrwxrwxrwx. 1 root root       7 27. Jan 11:01 remote-backup -> ../dm-0

apuntando a (tenga en cuenta que los permisos del nodo señalado, no los permisos del enlace simbólico anterior son relevantes):

brw-rw----. 1 root disk  253, 0 27. Jan 11:01 ../dm-0

Por lo tanto, un usuario necesitaría estar en el diskgrupo o ser root para acceder al contenido sin procesar del dispositivo mapeado. Por supuesto, un usuario que no sea de confianza nunca debería tener estos privilegios; de lo contrario, no sólo sería posible leer, sino también destruir datos.

(El resultado anterior corresponde a un Fedora configurado normalmente. Su kilometraje puede variar en diferentes sistemas)

Sí, eso es cierto, sujeto a las restricciones habituales de acceso al sistema de archivos, por supuesto.

En cuanto a por qué esto no se considera un problema:

Esto depende de lamodelo de amenaza- es decir, sobre los ataques y atacantes que te preocupan. Generalmente, el cifrado de sistemas de archivos sólo es útil como protección contra ataques físicos contra el hardware (por ejemplo, robarlo).

Si un atacante tiene acceso a la red mientras el sistema está en ejecución, o incluso una cuenta en el sistema, el cifrado del sistema de archivos no ayudará. Sin embargo, en ese caso los permisos habituales del sistema de archivos sí ayudan, lo que muestra muy bien cómo las diferentes medidas de seguridad se complementan entre sí.

Esto es bien conocido. Por ejemplo, el "Cómo sistema de archivos cifrados" de Ubuntuadvierte:

Panaceas y cajas negras

No olvide que este NO es un sistema perfecto. Sigue siendo vulnerable a ataques de diversas formas, siendo la más obvia un ataque en línea. Si puede acceder a sus datos cifrados, cualquier otra persona que ingrese al sistema también lo podrá hacer. [...]