Sua primeira abordagem parece criptografar tudo, exceto o / boot; sua segunda abordagem criptografa apenas swap & casa.
Sugiro criptografar tudo. Eu acredito que o Debian pode manipular o mesmo / boot sendo criptografado atualmente (com o grub solicitando uma frase secreta).
Existem algumas grandes vantagens para criptografar tudo:
Segurança. É muito fácil para os dados vazarem acidentalmente fora de /home
. Você pensou em /tmp
; há também /var/tmp
. E, dependendo dos programas que você usa, cada um tem seu próprio local em /var
- por exemplo, você coloca alguns dados no MySQL e oops que era /var/lib/mysql
. Você também se lembrou do e-mail em /var/mail
e /var/spool/exim
? ou o spool de impressão em /var/spool/cups
(se você usar o CUPS; em outro lugar com outros sistemas de impressão)? Ou /var/log
pode facilmente conter dados confidenciais. Criptografe tudo e isso não pode acontecer.
Flexibilidade. A divisão está forçando você a escolher quanto espaço deseja alocar para /
vs. /home
. Se você errar, com essa configuração, mudá-la será difícil. Com tudo dentro do LVM, é muito mais fácil de alterar (e com um sistema de arquivos, você não é forçado a decidir em uma divisão).
Downside. Um sistema criptografado é um pouquinho mais lento, mas duvido que seja perceptível em um PC feito na última, digamos, década.
BTW: Para seus ataques maliciosos, você precisa ter certeza de que a máquina está sempre bloqueada quando não estiver lá, e fazer coisas para bloquear a sequência de inicialização (por exemplo, senha do firmware / BIOS e senha do grub) indicadores físicos de violação no gabinete, de alguma forma impedem que os registradores de chaves de hardware sejam adicionados (ou teclados sendo substituídos), etc. Esse é um cenário difícil de se proteger.