Как зашифровать раздел с установленным linux

Если в стандартном установщике нет варианта шифровать отдельные разделы, то вы можете либо ставить Ubuntu руками, например через debootstrap и при такой установке самостоятельно создать шифрованный контейнер, в нём файловую систему и установить туда Ubuntu, а потом поставить загрузчик и настроить либо открытие шифрованного контейнера на этапе работы загрузчика, либо настроить открытие на этапе работы Initrd.

Либо вы можете поставить Ubuntu обычным способом, а потом загрузиться с LiveCD, сделать копию файлов установленной системы, создать шифрованный контейнер, в нём файловую систему, перенести в неё ранее скопированные файлы Linux, установить загрузчик и прочее.

Не забудьте правильно отредактировать конфигурационные файлы.

К параметрам ядра в загрузчике можно дописать vga=791 нажав F6 на пункте «установить» и загрузиться так, тогда разрешение будет выше в установщике.

Вот вам тема в помощь: Keyslot 0 (luks2) open failed with -22

А далее смотрите wiki Arch Linux и Gentoo.

При установке linux mint на жесткей диск рядом с разделом ntfs,

таак,

вариант либо стереть все и зашифровать корневой раздел, то етсь систему, либо размечать самому (что я и выбираю, что бы оставить раздел для диска Д на винде)

так, хорошо.

и получается что можно зашифровать только домашнюю папку.

тааак, падажжи ёбана

так как сделать так что бы вся система была на зашифрованном разделе?

Это довольно сложно. фишка в том, что система должна быть достаточно функциональной для того чтобы спросить пароль ещё до монтирования корня. Но это возможно, для этого просто нужно запихать всё необходимое в initrd и модифицировать скрипты загрузки. Да, и разумеется загрузочный раздел где будет лежать ядро и initrd не должны быь зашифрованы. Проблема в том, что я хз, автоматизировал ли кто то такую операцию в своём установщике. Думаю что убунту, дебиан и крупные дистрибутивы - нет.

А вот в винде это возможно в VeraCrypt. Но ты можешь установить виртуалку с Linux на томе VeraCrypt'а.

загрузочный раздел где будет лежать ядро и initrd не должны быь зашифрованы

Они могут быть на флешке.

Они могут быть на флешке

Иначе их могут подменить в твое отсутствие и перехватить пароль. А еще могут в клаву залезть и кейлоггер впаять.

Я вообще предпочитаю шифровать только /home

Можно зашифровать весь виртуальный линукс средствами VirtualBox еще. Не знаю насколько это надежно. Только надо swap отключить на основной системе. Достоинство VeraCrypt в том, что он позволяет создавать скрытый контейнер. И если тебя вынудят в какой-нибудь Великобритании сообщить пароль, ты сообщишь пароль от фейкового контейнера. Но он очень медленный, потому что работает через FUSE.

США вот не настолько упороты, там все-таки действуют поправки защищающие неприкосновенность личных данных.

ядро и initrd не должны быь зашифрованы

Вроде grub умеет. Если постараться, то можно всё зашифровать, кроме grub. А его собрать монолитно, подписать для secureboot и положить на ESP.

Тогда уж носить /boot на флешке, флешку держать в тайнике и взрывать тайник при неавторизованном доступе.