Итак, как следует из названия, я бы искал удобный способ защиты своих данных при достижении вероятного отрицания. Я прочитал Archwiki на эту тему. Я бы предпочел не шифровать всю корневую систему, если я могу избежать этого, НО мне нужно зашифровать /var.
dm-crypt предлагает два варианта правдоподобного отрицания: простой режим и отдельный заголовок LUKS, но оба они очень неудобны, так как требуют длинного и сложного для запоминания ввода команды cryptopen. Мне также не нравится идея хранить заголовок LUKS на незашифрованном USB-накопителе, так как, если это будет обнаружено, вся цель будет побеждена.
VeraCrypt (преемник TrueCrypt), с другой стороны, очень удобен, поскольку его можно использовать для создания скрытого зашифрованного раздела внутри внешнего зашифрованного тома (который действует как приманка). Можно написать скрипт монтирования veracrypt, который после запуска запрашивает только пароль, и два разных пароля могут быть использованы для монтирования двух разных разделов (либо ложных, либо скрытых).
Для Windows также существует загрузчик veracrypt, который можно использовать для загрузки полностью зашифрованной системы. В моем случае я не обязательно хочу зашифровать всю систему, но я хочу зашифровать /var, тогда мне все еще нужен какой-то способ монтировать зашифрованный /var, когда это необходимо во время загрузки. Насколько вам известно, может ли быть какой-нибудь (удобный / быстрый) способ в Linux запустить veracrypt во время загрузки, чтобы смонтировать /var до того, как это потребуется?
В качестве альтернативы, можете ли вы придумать какой-то другой способ достижения того же результата с помощью dm-crypt? Результат должен быть: зашифрованный /var и /home + правдоподобный отказ + быстрое и простое монтирование во время загрузки.
Спасибо за помощь