Быть на 100% уверенным, есть ли какие-либо зашифрованные файлы в системе, просто получив доступ к grub во время загрузки
Временные файлы заканчиваются в /run/user/и, похоже, никогда не удаляются, пока пользователь не выйдет из системы (дляsystemd-run --user)или до перезагрузки, когда /runвоссоздается.
Например, если вы создаете команду для выполнения только один раз в заданное время:
systemd-run --user --on-calendar '2017-08-12 14:46' /bin/bash -c 'echo done >/tmp/done'
Вы получите принадлежащие вам файлы в/run:
/run/user/1000/systemd/user/run-28810.service
/run/user/1000/systemd/user/run-28810.service.d/50-Description.conf
/run/user/1000/systemd/user/run-28810.service.d/50-ExecStart.conf
/run/user/1000/systemd/user/run-28810.timer
/run/user/1000/systemd/user/run-28810.timer.d/50-Description.conf
/run/user/1000/systemd/user/run-28810.timer.d/50-OnCalendar.conf
Для не --userфайлы находятся в/run/systemd/system/
Вы можете удалить файлы, выполнить systemctl [--user] daemon-reloadи затем list-timersпокажет только имя модуля с их последней историей, если они уже были запущены. Эта информация, вероятно, хранится во внутреннем статусе или файлах журнала systemd.
Нет, вы не можете быть уверены на 100%. У пользователя может быть зашифрованная папка (encfs, например ).
Если возможно, вы можете создать нового пользователя и скопировать файлы. Затем проверьте, все ли есть в только что созданном пользователе. Если вы когда-нибудь узнаете пароль или вам придется вернуться, данные все равно останутся там.