+ Ernest Adrogué:
Però si volgués encriptar, suposo que només encriptaria el home (que ja està
en una partició separada), perquè encriptar els programes no crec que tingui
massa utilitat.
Això depèn del nivell de paranoia perquè no tots els fitxers sensibles estan
al home (e.g. les contrasenyes del shadow, fitxers temporals, bases de dades,
etc.). Però això de xifrar només el home és força recent, abans calia fer-ho
tot tret del /boot.
Val a dir que xifrar el home té alguns inconvenients com ara que si no has
fet login en local no es pot fer ssh remotament perquè no hi ha accés al
~/.ssh/authorized_keys (hi ha solucions, però per defecte no funcionaria).
L'únic motiu que veig per tenir /boot separat és que hi ha BIOS que no poden
accedir a tot el contingut del disc i per tant pot passar que el fitxer del
kernel estigui en una regió inaccessible pel BIOS i no pugui arrencar el
SO... però no sé si és un motiu vàlid actualment, a mi mai m'ha passat.
Abans també passava que el grub no era capaç d'arrencar si el /boot estava
sota LVM però les darreres versions crec que ja ho permeten, tot i que no
ho he provat (a la feina seguim separant el /boot dels servidors).