Après installation je ne pense pas, pour un chiffrage total il faut utiliser [☛luks] avec [☛cryptsetup], et encore il faudra toujours que le noyau et son ramdisk ne soient pas chiffrés pour que grub les trouves, donc il faudra un /boot non chiffré (et le bout de grub dans le mbr ne sera pas chiffré non plus 
).
Avec luks le chiffrement est en dessous du système de fichier. Tout comme tu peux avoir un volume logique dans un LVM sur un raid, tu as un volume logique dans un LVM sur un volume chiffré avec luks (sur un raid si tu veux aussi 
) .
disque dur → partition dos → [ volume raid → ] volume luks → [ volume logique → ] système de fichier
J’utilise luks et ça marche bien.
Il est possible de chiffrer des répertoires après installation avec [☛ecryptfs], mais ce n’est donc pas tout le système qui est chiffré, seulement une petite partie.
Avec ecryptfs le chiffrement est au dessus de la couche du système de fichier, chaque fichier est chiffré. Il faut donc une interface utilisateur qui permette de naviguer dans les fichiers de manière transparente, la solution choisie est d’avoir un montage qui affiche les mêmes données non chiffrées.
disque dur → partition dos → [ volume raid → volume logique ] → système de fichier → fichier chiffré
Je n’ai jamais utilisé ecryptfs, je ne peux pas te faire part de mon expérience à son sujet, je crois que c’est moins performant que luks.
Utiliser LVM te permet de placer ton partitionnement au dessus de la couche raid et au dessus de la couche de chiffrement. Ainsi tu peux avoir une foultitude de volumes logiques qui seront tous déchiffrés en même temps en déchiffrant le LVM qui les contient. En mettant ton swap dans ton LVM tu le chiffre aussi.
Je suppose que si tu as deux raids différenciés pour / et pour le swap, c’est que ton / est sur un raid1 et ton swap sur un raid0 ? Dans ce cas là tu peux chiffrer ton swap en modifiant ton fstab.
Cependant, la clé sera aléatoire, donc à mon avis il faut mettre une croix sur l’hibernation puisque l’hibernation copie la ram en swap pour la restaurer au démarrage.
Avec une partition swap dans un volume luks, l’hibernation fonctionne aussi, en toute sécurité.
Quoi qu’il arrive, se souvenir que puisque le chargeur de démarrage, le noyau et son ramdisk ne sont pas chiffrés, de toute manière le chiffrement empêchera seulement les actions de celui qui te vole ton disque mais ne te le rend pas. Si quelqu’un a accès à ton disque, peut le trifouiller et te le rendre, il peut tout à fait te glisser un keylogger dans ton grub, ton noyau ou [☛plus simplement dans le ramdisk] (peut-être le bios aussi, mais y a plus simple) ! La seule manière d’éviter cela est de signer ces binaires non chiffrables et de vérifier la signature au démarrage avec un puce [☛TPM], ça commence à devenir bourrin. En cas de pépin la procédure de récupération devient alors plus complexe, il ne suffit pas de booter sur une quelconque machine avec un liveCD et de déchiffrer ses partitions, on peut devenir dépendant d’une machine qui devient irremplacable, ce sont les mêmes inconvénients que les chiffrements matériels.
IBM présente comment utiliser [☛TPM dans la procédure de chiffrement] (avec tout plein d’autres pages intéressantes, avec ecryptfs aussi), mais pour signer avec TPM c’est plus dur à trouver, j’ai déjà eu des papelards dans la main mais sur le net ce n’est pas très bavard à ce sujet.
Si tu veux chiffrer après installation, utilise ecryptfs, mais tu ne peux pas chiffrer tes fichiers systèmes avec. Si tu veux aussi chiffrer tes fichiers systèmes, il te faut déplacer le chiffrement au dessous de la couche du système de fichier, donc réinstaller (et utiliser luks).
