Na maioria dos cenários, um dos três esquemas a seguir funciona bem.
Você só deseja criptografar alguns arquivos particularmente confidenciais.
Use encfs :
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
Prós: sem sobrecarga para acessar arquivos não confidenciais; você pode ter diferentes hierarquias com senhas diferentes; você pode copiar facilmente toda uma hierarquia de arquivos criptografados para outra máquina; você não precisa de nenhuma permissão especial para usar o encfs.
Contras: criptografa arquivos que são colocados explicitamente na área criptografada; um pouco mais lento que a criptografia em nível de disco se você for criptografar muitos arquivos de qualquer maneira.
Você deseja que todo o seu diretório pessoal seja criptografado.
Use ecryptfs .
Prós e contras . Em poucas palavras, o ecryptfs funciona especialmente bem quando você deseja criptografar seu diretório pessoal usando sua senha de login; isto é o que o Ubuntu usa se você disser ao instalador para criptografar seu diretório pessoal. Uma desvantagem é que é mais difícil fazer ssh na sua conta, porque se você estiver usando a autenticação de chave para o ssh, sua chave pública deve ser colocada fora da área criptografada e você precisará digitar sua senha após o ssh'ing.
Criptografia de todo o disco.
Use dm-crypt para criptografar tudo, exceto /boot .
Prós: tudo é criptografado, então você não precisa se preocupar em colocar acidentalmente um arquivo no lugar errado; A criptografia em nível de bloco oferece maior velocidade, especialmente se o processador tiver um acelerador de hardware para AES ( AES-NI em x86 ).
Contras: você precisa fornecer a senha no momento da inicialização, assim você não pode fazer uma inicialização automática; tudo é criptografado, o que pode ser lento se o processador estiver lento.
Notas gerais
Se você não optar pela criptografia completa de disco, lembre-se de que algumas cópias temporárias de seus dados podem acabar fora do seu diretório pessoal. O exemplo mais óbvio é o espaço de troca, portanto, se você for usar criptografia para impedir que um ladrão leia seus dados, certifique-se de criptografá-lo (com dm-crypt). Como o espaço de troca é reinicializado em cada inicialização, você pode usar uma chave aleatória para ele, e dessa forma você pode fazer uma inicialização automática (no entanto, isso impossibilita a hibernação).
Coloque /tmp em tmpfs (é uma boa ideia de qualquer maneira). Veja Como (com segurança) mover / tmp para um volume diferente? para saber como migrar /tmp para tmpfs.
Outras áreas em risco são a queda de email ( /var/mail ) e o spooler de impressão ( /var/spool/cups ).