Auf Lehrergeräten ist es sinnvoll zumindest das home-Verzeichnis zu verschlüsseln, da darin oft personenbezogene Daten abgelegt sind. Dazu gibt es verschiedene Varianten:

1. LUKS - verschlüsselt nur ganze Partitionen
2. ecryptfs - verschlüsselt einzelne Verzeichnisse
3. systemd-homed - für home-Verzeichnisse (in Entwicklung)

Zusätzlich zum home sollte auch die swap-Auslagerung (falls vorhanden) und das /tmp-Verzeichnis verschlüsselt werden.

Meist gibt es neben /tmp auch das Verzeichnis /var/tmp, die man mit einem Link zusammenführt:

# rm –Rf /var/tmp
# ln –s /tmp /var/tmp

Nun eine Container-Datei /.crypttmp erzeugen und (ohne journal) formatieren:

# dd if=/dev/zero of=/.crypttmp count=300 bs=1M
# losetup /dev/loop20 /.crypttmp
# mkfs.ext4 -O ^has_journal /dev/loop20

In der Datei /etc/crypttab eine Zeile hinzufügen:

crypttmp /.crypttmp /dev/urandom tmp,size=256, hash=sha256,cipher=aes-cbc-essiv:sha256

In der Datei /etc/fstab eine Zeile hinzufügen:

/dev/mapper/crypttmp /tmp ext4 defaults 0 2