Szyfrowanie dysku, VeraCrypt

[mark]

Witam serdecznie,

Jestem laikiem jeśli chodzi o kwestie Linuksowe, jednak w miarę wolnego czasu staram się czytać na ten temat i planuję w najbliższym czasie definitywną przesiadkę z Windowsa na Linuxa, w związku z planowanym zakupem nowego laptopa (kupię model bez systemu operacyjnego). Prawdopodobnie zdecyduję się później na postawienie Ubuntu, ale kwestia konkretnej dystrybucji jest na razie otwarta. Niestety, nie udało mi się nigdzie znaleźć wyczerpujących odpowiedzi na wszystkie nurtujące mnie pytania dotyczące szyfrowania dysku i szyfrowania całego systemu.

Obecnie używam Win7, a jako że prowadzę jednoosobową działalność gospodarczą i przechowuję na dysku wrażliwe dane klientów, to od dawna używałem programu VeraCrypt do szyfrowania całego dysku. Kiedyś stosowałem rozwiązanie polegające na wybraniu opcji "szyfrowanie całego dysku" i używałem jednego hasła przy rozruchu komputera, a ostatnio postanowiłem pójść dalej aby jeszcze bardziej się zabezpieczyć.

Mianowicie, obecnie podzieliłem dysk na 2 partycje, z czego na jednej jest zainstalowany tylko Win7 i programy, natomiast wszystkie wrażliwe pliki, dokumenty itp. trzymam na osobnej partycji. Partycja systemowa jest szyfrowana jednym hasłem (które wpisuję przy rozruchu, bez jego wpisania komp wygląda na zawieszony), natomiast partycja nr 2 z danymi i plikami jest szyfrowana osobnym hasłem i montuje się automatycznie dopiero przy logowaniu i po wpisaniu osobnego hasła. Czuję się bezpiecznie  8)

W związku z planowaną przesiadką na Linuxa pojawiają się następujące pytania:
- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),
- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?
- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować, ewentualnie stworzyć jakiś monstrualny kontener i tam trzymać wrażliwe pliki. Ale chciałbym też mieć zaszyfrowany system operacyjny i wszystkie programy żeby nikt nie mógł uzyskać dostępu także do plików systemowych, danych logowania do kont pocztowych itp. W mojej opinii zwykłe hasło używane przy logowaniu do profilu (nie wiem czy dobrze to nazywam ale chyba wiadomo o co mi chodzi) nie jest odpowiednim zabezpieczeniem.

Będę wdzięczny za pomoc, pozdrawiam

[TataPingu]

- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),

Tak

- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?

Tak
- zależnie od wybranego systemu, ale właściwie przy większości dystrybucji, podczas instalacji systemu  bądziesz pytany, czy chcesz zaszyfrować HDD

- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

Nie wiem, jaki masz teraz "efekt" (nie używam szyfrowanej windy), ale coś podobnego można uzyskać na kilka sposobów...
- przecież możesz już w BIOSIE nastawić hasło, tak, że systemu wogóle nie da się bez niego wystartować...

Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

Niezależnie od tego na jakie zabezpieczenia się zdecydujesz, na pewno OS linuks będzie (może być) o wiele bezpieczniejszym systemem..

Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować,.... itd

Może być kilka sposobów, czy rozwiązań, właściwie, to można uzyskać wszystko, co się chce..
- w pierwszym rzędzie trzeba jedynie to doprecyzować...

Jak na razie, to nawet niewiemy na jaki linuks się zdecydujesz

[mark]

Rozumiem, dziękuję za odpowiedź. Pozwól, że w takim razie zadam kolejne pytania  ;D

Szyfrowanie przy instalacji systemu (dystrybucji Linuksa). Na czym to dokładnie polega? Jest to szyfrowanie przy użyciu jakiegoś szyfru blokowego, np. typu AES lub Serpent  czy jak?

Obecnie "efekt" jaki mam na Win7 i o którym pisałem polega na tym, że VeraCrypt zaszyfrowało mi partycję systemową w całości. Jak odpalam laptopa to może pojawić się tylko migający "_" lub np. losowy tekst typu "system not found" i do czasu wpisania hasła nic nie wystartuje dalej.

Gwoli wyjaśnienia - zależy mi nie tylko na tym, żeby uruchomienie systemu było niemożliwe bez wpisania hasła, ale żeby jego odpalenie nawet po wyjęciu dysku z laptopa, podłączenia go do innej maszyny itp było niemożliwe. Aby nie było możliwe jakiekolwiek "obejście" zabezpieczenia z BIOSa i uzyskanie danych. Nie wiem czy dobrze się wysławiam.

Tak jak pisałem, kwestia wyboru konkretnej dystrybucji Linuksa jest na razie otwarta. Z tego co czytałem to najprawdopodobniej zdecyduję się na Ubuntu, ale jeśli ktoś mi napisze "koleś, jeśli głównie zależy Ci na bezpieczeństwie i szyfrowaniu to olej Ubuntu i bierz Fedorę" to nie ma problemu. Sprawa jest otwarta, między innymi dlatego założyłem ten temat.

Tak jak pisałem, jestem laikiem a zależy mi na maksymalnym bezpieczeństwie i świadomości, że wszystkie moje partycje i cały dysk wraz z systemem są niemożliwe do odszyfrowania po ewentualnej kradzieży laptopa (w granicach rozsądku, nie trzymam na laptopie kodów nuklearnych ale jednak nie chciałby żeby ktoś mi zarzucił kiedyś że niedostatecznie chroniłem wrażliwe dane swoich klientów <aluminiowa czapka mode on>).

Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

Jeśli są potrzebne jakiekolwiek dodatkowe informacje, to oczywiście wszystko uściślę i wyjaśnię. Liczę na pomoc forumowiczów w kwestii którą poruszyłem i będę wdzięczny za wszystkie wskazówki.

[TataPingu]

Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

No właśnie, to bardzo szeroki temat, nie sposób streścić tego w kilku zdaniach...
- ale widzę, że jesteś rozgarniętym człowiekiem, wiesz o co chodzi i czego ew. szukać.
Na pewno sobie poradzisz

Osobiście nie znam polskiej literatury, poradników itp. na ten temat (żyję poza Krajem), na pewno ktoś inny Ci poradzi. W sieci również znajdziesz sporo informacji na ten temat.

Jedno, co od razu Ci polecę, to np. wirtualne maszyny (np. VirtualBox). Na takich maszynach możesz spokojnie "poćwiczyć"

[pavbaranov]

IMO - Z Twoimi założeniami sens ma:
1. Założenie hasła BIOS - teoretycznie taki komputer nie odpali się bez podania hasła BIOSu wcale. Nie ma znaczenia, czy będziesz chciał go odpalić z wewnętrznego dysku, CD/DVD-ROM, czy z jakiegokolwiek dysku zewnętrznego (np. pendrive).
2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home). Dlaczego? Bo szyfrowanie partycji, na której znajdują się pliki systemowe, programy itp., jeśli już ktoś odpalił system w ogóle (czyli przeszedł pkt. 1) nie ma sensu, bo wówczas można nawet taką zaszyfrowaną partycję systemową ominąć odpalając system z zewnętrznego OS. Nadto szyfrowanie zawsze w jakiś sposób jest narzutem na wydajność całego systemu. To, czy będziesz miał np. libreoffice na partycji zaszyfrowanej, czy nie - nie ma natomiast żadnego znaczenia.
3. Obowiązkowo niestosowanie tzw. automatycznego logowania - system po raz kolejny, zanim wejdziesz do niego przywita Cię prośbą o podanie hasła użytkownika.
4. Można jeszcze rozważyć, czy określone dokumenty, czy katalogi nie zabezpieczyć raz jeszcze stosując np. rozwiązania takie jak w Plasma pn. plasma-vault.
5. Każde ze stosowanych haseł - losowe i każde inne od poprzedniego.
6. Przechowywanie haseł w szyfrowanych plikach.
7. Brak sudoers.

Tak przygotowany dysk będzie niezmiernie trudny do złamania, albo trwać to będzie bardzo długo. Niemniej jednak niemal każde zabezpieczenie tego typu - niezależnie czy to Win7, czy to linux - jest do sforsowania. Kwestia jedynie niezbędnych nakładów (kosztów, czasu), w jakim jakieś narzędzie (inny komputer) będzie w stanie odkryć w jaki sposób informacje zostały zaszyfrowane.

[TataPingu]

2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home)

To raz, ew., zależnie od typu danych (baza, pojedyńcze pliki itd?), jeśli dane nie stanowią "całości" (np. SQL, MariaDB, itp) , a tylko zapisywane są w jakiejś części dysku, to można je lokować na zewnętrznym, szyfrowanym nośniku (USB), a po skończonej pracy, po prostu dobrze schować.

6. Przechowywanie haseł w szyfrowanych plikach.

Ewentualnie, odpowiednim programem do tego (np. KeePassX)...
- co ważne, wszystkie hasła powinny być fizycznie wydrukowane (KeePassX umożliwia coś takiego) i głęboko schowane.
Miałem już przypadki, że komuś "zapomniało się" hasła...
- to wielki problem...

[mark]

Haseł nie chciałbym przechowywać w plikach. Polegam na swojej pamięci plus dodatkowo "analogowo" mam zapisane hasła na kartce papieru, którą dobrze schowałem i myślę że nawet jak ktoś ją znajdzie to się i tak nie domyśli że to są jakieś moje hasła.

Dane które muszę chronić to w większości niewielkie pliki, dokumenty tekstowe, pdf, skany itp. Jest tego mnóstwo ale raczej nic większego niż kilka-kilkadziesiąt MB (jednorazowo). Trzymanie tego na USB odpada bo mnóstwo podróżuję i zależy mi żeby to wszystko mieć przy sobie na dysku laptopa. A szyfrowanie dysku jest mi głównie potrzebne na wypadek np. fizycznej kradzieży samochodu z laptopem w środku.

Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.

Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania? Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?

Pomijam oczywiście kwestię odczytania danych z RAMu bo aż o taki poziom zabezpieczeń mi nie chodzi. Tak jak pisałem - zakładam jedynie, że ktoś kiedyś teoretycznie może mi fizycznie laptopa ukraść. Wolałbym uniknąć sytuacji "panie, mam twój laptop i dane logowania do poczty, płać okup albo zacznę upubliczniać dokumenty które miałeś na dysku i na serwerze poczty". Oczywiście hasło główne do Thunderbirda mam, wpisuję za każdym razem przy pierwszym odpaleniu.

[TataPingu]

2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )

Nie nie wyklucza, tylko, że to zostało już "wybrane" w punkcie 2
- możesz natomiast stworzyć np. jakiś archiwalny plik z chronionymi danymi (np. ZIP, RAR itp), który dodatkowo również zabezpieczasz hasłem (nie otworzysz plika bez podania hasła)

Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?

Te dane możesz bardzo wygodnie likwidować (przed wyłączeniem lapka) za pomocą jakiegoś programu, np. BleachBit (zależnie od konfiguracji, likwiduje dane usera, ale także dane systemowe z poziomu roota)

[pavbaranov]

Haseł nie chciałbym przechowywać w plikach.

Oczywiście możesz chcieć. Problem jednak leży w tym, że dowolny (czy to linux, czy to MacOS, czy Windows - nie ma znaczenia) system zdecydowanie nie liczy się z Twoim zdaniem. Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.

Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.

Czegoś nie rozumiem, tj. pkt 3 jest zbędny po zastosowaniu pkt. 2. Jeśli chodziło Ci w tym momencie o nawiązanie do tego, co ja napisałem w pkt. 4 w poprzednim wpisie, to plasma-vault (to jedynie przykład takiego narzędzia) pozwala na stworzenie w Twoim katalogu dodatkowych katalogów, do których dostęp jest szyfrowany dodatkowym jeszcze hasłem, a to, co tam jest pozostaje nieczytelne (i bez dostępu) dla osób, które sforsowały już wcześniejsze zabezpieczenia (czyli mają fizyczny dostęp do komputera/dysku i nadto jeszcze udało im się go uruchomić i otworzyć partycję /home).
Pkt 5 - W linux można stworzyć grupę, która uzyskuje dostęp do "wyższego" poziomu uprawnień bez znajomości haseł wymaganych dla takiego dostępu.

Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?

Używasz obecnie Windows z szyfrowaniem. Zatem odpowiedź na powyższe brzmi: w obu przypadkach wygląda to tak samo dla każdej platformy, na której uruchamiane są te programy.
Oczywiście możesz te dane w bardzo sporym stopniu ograniczyć.

Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?

Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Jeśli dane te są nieistotne z punktu widzenia złodzieja (czyli kradnie komputer, a nie dane), to czy te dane są, czy nie są szyfrowane jest zwykle bez znaczenia, bo i tak dysk ulegnie skasowaniu.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

[mark]

Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.

Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

Już rozumiem o co chodzi z tymi hasłami przechowywanymi w pliku. A więc temat do ogarnięcia, nigdy o tym nie pomyślałem.

Oczywiście, że najsłabszym elementem systemu jest użytkownik, ale raczej dane przeze mnie przechowywane nie są aż na tyle istotne żeby ktoś mnie próbował torturować. Po prostu dmucham na zimne, nie chciałbym żeby ktoś kiedyś wpadł na pomysł że ukradnie mi laptopa a potem jak się domyśli że w mam na dysku wrażliwe dane to będzie szantaż "zacznę wszystko publikować jak nie zapłacisz". Wolałbym wtedy spać spokojnie, że taki złodziej nic nie opublikuje bo wszystko było dobrze zaszyfrowane.

Myślę nad tym wszystkim i w trasie wpadłem na pomysł, żeby po prostu wozić ze sobą na pendrive Linuksa i najważniejsze pliki w osobnym folderze. Wtedy taki nośnik mógłby mieć np. zupełnie luźno wgrany instalator powiedzmy Ubuntu a do tego osobny zaszyfrowany kontener z wszystkimi istotnymi plikami których potrzebuję. Laptopa używałbym typowo jako maszyny do uruchamiania każdorazowo Linuxa w sesji Live a po wszystkim wypinał nośnik i po sprawie. Pewnie Ameryki nie odkryłem  ;D ale nie wpadłem na to przedtem. Aczkolwiek jest to rozwiązanie odrobinę niewygodne.

Pojawiają się dwie podstawowe niedogodności:
1. Rozumiem, że za każdym razem musiałbym od nowa "konfigurować" np. Thunderbirda po załadowaniu sesji live, od nowa wpisywać wszystkie hasła itd. Trochę by z tym było roboty bo używam kilku kont e-mail (2 służbowe plus prywatne). Chyba, że dałoby się stworzyć jakiś plik w którym przechowywane byłyby ustawienia Thunderbirda przykładowo i wszystkie hasłą? Oczywiście plik zaszyfrowany, który byłby montowany razem ze startem systemu.
2. Za każdym razem trzeba by osobno montować ten zaszyfrowany kontener.

Ubuntu podaję tutaj przykładowo, mogłaby być jakakolwiek inna dystrybucja która miałaby na pokładzie od razu potrzebne mi programy czyli Libre Office, Firefox i jakiś program do montowania zaszyfrowanych woluminów.

Osobno oprócz tego mógłby być na laptopie wgrany na dysku "cywilny" system, ktorego bym używał tylko do oglądania filmów, grania itp.

Chciałbym maksymalnie zgłębić się w temat szyfrowania pod Linuksem itp. Muszę poszukać, tylko od czego tu zacząć...

[pavbaranov]

Dla chcącego - nic trudnego. Możesz np. mieć linuksa na pendrive (ba, nawet zaszyfrowanego), takiego, który stanowi sam w sobie system uruchamiany z pendrive'a. Dodatkowo komputer może być wyłącznie z zaszyfrowanym dyskiem itd., który będzie się montować, wyłącznie, gdy podłączysz ów pendrive (po wcześniejszym sforsowaniu zabezpieczeń w BIOS). Itd. itp.
Dla chcącego - nic trudnego, ale - szczerze - zamiast sięgać po proste, sprawdzone rozwiązania (tak, w zależności od zdefiniowanych potrzeb różna będzie kwota, jaką na to trzeba będzie przeznaczyć), zaczynamy się ocierać o paranoję (i proszę nie przypisywać mi oceny Twojego stanu zdrowia, a wyłącznie potoczne znaczenie, że prościej, lepiej i skuteczniej może być inaczej).

[mark]

Dokładnie, chodzi też o to, żeby nie przekroczyć tej cienkiej granicy pomiędzy bezpieczeństwem a paranoją, oraz aby zbytnio nie poświęcać wygody użytkowania na rzecz niepotrzebnie intensywnego bezpieczeństwa/szyfrowania.

No nic, muszę się jeszcze wczytać w temat, na chwilę obecną czuję swój brak wiedzy i źle mi z tym. Pewnie w miarę czytania jeszcze nasuną mi się kolejne pytania więc pozwolę sobie znowu je tutaj wrzucić. Tymczasem jeśli komuś by się coś nasunęło, jeśli ktoś z forumowiczów mógłby polecić jakieś opracowania na temat bezpieczeństwa Linuksa, szyfrowania dysków i programów do tego stworzonych, to będę wdzięczny za podesłanie linków.

Dziękuję i pozdrawiam

[pavbaranov]

Dla celu, który prawdopodobnie chcesz osiągnąć, rozwiązanie proste i wystarczające: hasło na BIOS + brak autologowania + szyfrowanie dysku (w zasadzie istota to partycja /home, ale np. jeśli zaszyfrujesz i systemową i domową, to system 2x poprosi Cię o odszyfrowanie każdej z partycji - przy różnych hasłach, dodatkowe zabezpieczenie).

[mark]

Thanks man.

Pewnie tak zrobię, przynajmniej na początek a później najwyżej będą eksperymenty. Piszesz o szyfrowaniu partycji home i partycji systemowej - chodzi Ci o szyfrowanie przy stawianiu Linuksa czy później osobno jakimś programem? Czy w ogóle bez różnicy kiedy to zrobię bo efekt będzie ten sam?

[pavbaranov]

W linux możesz sobie postawić tyle partycji ile chcesz. Dość standardowo w przypadku dekstopów stawiasz dwie (ewentualnie trzecia do swap). Z czego pierwsza to tzw. systemowa, a druga to domowa. Jeśli się decydujesz na takie rozwiązanie to masz:
1. jeden HDD (powiedzmy /dev/sda),
2. partycję systemową (powiedzmy /dev/sda1),
3. partycję domową (powiedzmy /dev/sda2).
Twoje dane są przechowywane na /dev/sda2. Różne inne rzeczy, w tym m.in. programy, logi systemowe itd. na /dev/sda1. Jeśli zaszyfrujesz obie, to podczas startu systemu będzie on od Ciebie wymagać hasła do odszyfrowania każdej partycji oddzielnie. Dwa różne hasła - więcej problemów dla kogoś przy próbie włamania.
I tylko o to mi chodzi.
Kiedy szyfrować partycje - wybór należy do Ciebie, ale wygodniej podczas instalacji.
Przy czym uwaga - dobrze sobie zachowaj te informacje, bo można się bardzo łatwo pozbawić dostępu do własnych plików. A potem płacz i... kupa pieniędzy na doprowadzenie do dostępu do takich zaszyfrowanych dysków/informacji.