Use o DM-crypt com o LUKS. Certifique-se de não colocar dados importantes sem fazer backup quando ainda estiver testando! Perdendo suas chaves de criptografia = certa perda de dados!
Além disso, você pode optar por usar uma senha, mas também pode optar por usar um arquivo de chaves. Um arquivo-chave pode ser armazenado em uma unidade flash separada ou algo assim, junto com o conteúdo do diretório / boot, para que ninguém possa entrar no seu disco rígido adivinhando a senha. Além disso, quando você inicializa a partir da unidade flash, pode optar por não proteger por senha o arquivo de chaves, portanto, a inicialização ocorrerá de forma transparente para você como usuário.
A criptografia torna seu sistema um pouco mais lento e menos responsivo à abertura de arquivos grandes. Algumas recomendações:
- Não crie root em um disco rígido USB 2 externo. (Lento + lento = muito lento)
- Eu tive problemas com o uso do BTRFS. Melhor usar EXT4 ou XFS.
O Arch tem uma excelente página wiki sobre o DM-crypt com o LUKS. Eu o segui para minha caixa do Gentoo um ano ou dois atrás.
Boa sorte!