Pode ser incrivelmente benéfico criptografar tudo menos seu bootloader; obviamente, o seu gerenciador de inicialização deve permanecer em texto puro. Uma resposta aqui sugere usar o instalador alternativo para criptografar quase tudo, mas incluir conteúdo não criptografado no disco rígido interno. Isso convida a um ataque "Evil Maid": durante um período em que seu computador está fisicamente inseguro, um invasor pode modificar a coleta de frase secreta para armazenar / enviar sua chave.
Eu descobri que a melhor abordagem faz uso de recursos especiais do GRUB para FDE, com o GRUB instalado em um USB. Instruções detalhadas aqui e aqui pode ser encontrado para o Archlinux, mas os processos são fáceis de adaptar e combinar para seus propósitos.