Edite o fstab da sua partição root encriptada para usar /dev/mapper/root.

# vi /mnt/crypt/etc/fstab


E finalmente edite o bootloader (grub):


root é o dispositivo ordinário da sua partição encriptada e ikmap é o mapa do teclado.

Reinicie seu sistema e reze para que o prompt com a senha apareça...

Se deu tudo certo, é hora de cuidar das outras partições.

Encriptando as demais partições

Você pode efetuar o mesmo procedimento de backup para a partição home ou outras, através do comando cp -avx. Claro, a mídia de backup deve ser grande o suficiente para que caibam as partições que deseja.

É preciso criar o mapper das demais partições tal qual fizemos na partição root substituindo apenas o dispositivo da partição que deseja criptografar.

# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda4

Para garantir mais segurança você pode usar uma senha diferente que a da partição root.

Edite o arquivo /etc/conf.d/cryptfs. Ele é bem simples e auto-explicativo. Ele cuida da decriptação e encriptação das partições na inicialização, exceto a partição root, que é cuidada pela initramfs.


Depois insira os novos dispositivos mapper na sua fstab tal qual a partição root.

Criando um cdrom bootável

Baixe a última versão do syslinux de:

• http://ftp.kernel.org/pub/linux/utils/boot/syslinux/

# tar -xvjf syslinux-<versão>.tar.bz2

Crie um diretório para confeccionar seu cdrom:

# mkdir crypt-cd
# cp /boot/vmlinuz-<blablabla> crypt-cd
# cp /caminho/para/syslinux-<versao>/isolinux.bin crypt-cd/vmlinuz
# echo "DEFAULT /vmlinuz ro root=/dev/sda3" > crypt-cd/isolinux.cfg

Agora crie a imagem e queime seu cdrom:

# mkisofs -o crypt-cd.iso -b isolinux.bin -c boot.cat \
-no-emul-boot -boot-load-size 4 -boot-info-table \
-J -hide-rr-moved -R crypt-cd/
# cdrecord cryptcd.iso

No seu dia-a-dia você deve sempre bootar pelo cdrom. A partição boot é apenas para casos de emergência.