Не знаю как там с несколькими паролями, но есть идеи:
Сделать два разных корневых раздела и добавить для них пункты в grub. По умолчанию загружается корень с дневниками, и если выбрать, то загружается шифрованный раздел.
Если монтирование делается в ручную через mount, то можно использоваться подразделы btrfs (subvolumes). Опять же по умолчанию монтируется «безопасный» подраздел.

Надеюсь есть нормальные способы, самому интересно — подпишусь.

Смысл делать 2 пункта в grub? Вся соль то в том что бы скрить признаки присутствия 2х систем. Гурзится одна система (через менеджер разделов виден 1 шифрованый LVM том, нужный хотелось бы отобразить например как свободное место). При загрузки вводим passphrase, в 1ом случае подругжаем нужный скрытй шифрованынй раздел(ы), при 2ом случае - показываем «фальш» данные.

Этот трюк сработает только против «чайника». Фальшивую (не используемую) систему можно легко определить проанализировав даты доступа/изменения файлов и состав пользовательских данных. Кроме того, невозможно спрятать секретный раздел на диске, так как зашифрованные области диска всегда видны как набор криптографически случайных чисел. Даже если заполнить весь диск из /dev/random, фальшивость не используемой системы с легко подбираемым паролем скрыть крайне трудно, только «чайник» не догадается о том что есть скрытая система.

Разумно. А TrueCrypt, т.е скрытый раздел внутри уже шифрованного раздела. Там такая же ситуация? http://www.truecrypt.org/docs/?s=hidden-volume

TrueCrypt не поможет, так как его наличие на диске указывает на возможность наличия скрытого раздела. А вообще, данные нужно прятать постоянно или единовременно?

Постоянно)

Придумал!

Весь диск наполняем из dev/(u)random, создаём разделы. Шифруем root как обычно, а swap шифруем одноразовым сеансовым ключом. Скрытый раздел прячем в свопе, и что бы он не перезаписался, делаем «синтаксическую ошибку» в конфиге, из за чего своп не монтируется. Создаём dm-crypt раздел поверх свопа со смещением от начала (что бы не затереть заголовок) с использованием ключей --offset, --skip, и т.п. и при каждой загрузке монтируем его вручную (AFAIR у dm-crypt нет выдающего его присутствия заголовка). Остаётся только очищать корзину и истории открытых файлов и консоли.

Не практично, но спасибо за помощь. Пожалуй обойдусь dm-crypt -ом на дебиане :-)

Ещё можно попробовать тщательно замаскировать TrueCrypt под другую программу, но, возможно, он требует какие-то специфические модули по которым можно предположить его присутствие.

Само собой, нужны же его драйверы для монтирования дисков

Это больше иллюзия дополнительной безопасности. Рассмотрите такой вариант: на произвольном свободном пространстве создать plain dm-crypt (то есть без LUKS), причём не в начале пространства, а со смещением; смещение держать в голове, в crypttab ничего не прописывать. Неудобно, но доказать наличие каких-то данных крайне проблематично. Такой раздел можно даже разместить поверх файловой системы, но это потребует знаний об устройстве ФС и гарантирует риск повреждения. Ещё можно поместить том в блоки расширенных атрибутов XFS (они достаточно велики и допускают запись произвольных данных), собирая его копированием в ramdisk, — относительно надёжно, но не слишком подойдёт для больших объёмов данных.

Если я правильно понимаю - это крайне не стабильная технология, а именно, т.к если данные попадут в сектор «псевдо» фс - извлечь их уже будет невозможно. Т.е не существует технологии скрытия (невозможности определения) наличия криптораздела?

Т.е не существует технологии скрытия (невозможности определения) наличия криптораздела?

Plain dm-crypt.

Если я правильно понимаю - это крайне не стабильная технология

Нет.

т.к если данные попадут в сектор «псевдо» фс - извлечь их уже будет невозможно

Это верно для любых структур данных.

Пример реализации Plain dm-crypt не покажите?

man cryptsetup

Ни слова о скрытых разделах. Взоможно мы говорим о разном. Скрытый это тот (шифрованный раздел) где одновременно находится два раздела - 1ый стандартный, 2ой скрытый.

Скрытый это тот (шифрованный раздел) где одновременно находится два раздела - 1ый стандартный, 2ой скрытый.

Идиотская формулировка.

Взоможно мы говорим о разном.

Да.

Хм, а вы что имеете ввиду?

Том, существование которого невозможно доказать однозначно.

Ссылочкой поделитесь? Повторюсь в мане не слова о этом.

Повторюсь в мане не слова о этом.

Команда «create» там описана исчерпывающе.

ок, понял куда копать :) не поможете?

Что именно непонятно?

Я могу раздел(ы) зашифровать dm-cryptom, а вот как сделать раздел, наличие которого при доступе к шифрованной системе было невозможно обнаружить... на этом мысль останавливается.

а вот как сделать раздел, наличие которого при доступе к шифрованной системе было невозможно обнаружить...

Командой cryptsetup create. Читайте руководство, читайте, там есть все кровавые подробности. И ещё вот это рекомендую: http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions (особенно вопросы 2.1 и 5.2) Хотя бы для смутного понимания.

Если что-то не получится, то не стесняйтесь спрашивать, а сейчас вы воду в ступе толчёте, не имея ни малейшего понимания.

Спасибо