Agora vamos preparar a "antiga" root. O primeiro passo é encher toda a partição com 'lixo' de forma que um possível atacante não tenha como saber o quanto de dados foram escritos partição:

# shred -vn 1 /dev/sda3

Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua máquina.

Encriptar a partição swap

Digamos que sua partição swap seja /dev/sda2.

# cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2
# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap

Agora vamos criar a nova partição root.

Criando a nova partição root

Você precisa de uma senha. Segura. Bem Segura. Você pode gerar alguma senha aleatória a partir de algum gerador de senhas aleatório. (veja apg, gpw ou visite http://www.diceware.com/). Você pode escolher uma senha complexa e anotar em um papel secretamente em seu poder. Quando memorizar queime este papel.

# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda3
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.

Enter LUKS passphrase: (insira a senha)
Verify passphrase: (repita a senha)

Agora você pode abrir sua partição LUKS:

# cryptsetup luksOpen /dev/sda3 root
Enter LUKS passphrase:
key slot 0 unlocked.

A partir de agora sua partição de root passa a ser denominada /dev/mapper/root. Vamos criar um sistema de arquivos na mesma:

# /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root

(espere vários minutos...)

mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
36634624 inodes, 73258400 blocks
732584 blocks (1.00%) reserved for the super user
First data block=0
2236 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
       32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
       4096000, 7962624, 11239424, 20480000, 23887872, 71663616

Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

Monte a agora a partição:

# mount -t ext3 /dev/mapper/root /mnt/crypt

Agora vamos transferir os dados da sua partição root temporária para a nova partição criptografada:

# cd /
# cp -avx / /mnt/crypt

(espere novamente bastante...)

E quando terminar:

# cd /mnt/crypt/dev
# MAKEDEV generic