Der Installer von 20.04 und auch 22.04 bietet die vollständige Verschlüsselung eines Massenspeichers an. Dabei wird LVM quasi beiläufig - aber auch zwangsläufig - eingesetzt. (Der Debian 11-Installer erlaubt - per default - auch das Beschreiben des Speichers mit zufälligen Daten, so dass alte Daten unzugänglich werden. Kann aber abgebrochen werden)
Über die Partitionierung muss man sich bei Neuinstallation also keine Gedanken machen. Das nimmt einem der Distributionsinstaller schon ab. Es funktioniert auch.
cryptsetup erlaubt das nachträgliche Verschlüsseln einer (existierenden oder neu geschaffenen) Partition, z.B. einer externen Backup-Disk oder -partition. Also via cli. Empfehle Einarbeitung und Anlage einer Dokumentation für eigene Zwecke in eigener Sprache, damit man das nach Monaten noch nachvollziehen kann. Grundsätzlich ist es einfach.
Das Werkzeug "Laufwerke" alias gnome-disk-tool bietet hierfür ein GUI.
Alle o.g. GUI-basierten Anwendungen sind selbsterklärend und können m.E. auch in einer VM erprobt werden. Ggf. den PC mit einer "Spieldisk" ausstatten und durchexerzieren. Wahrscheinlich kann man das auch erproben, wenn man sich einen bootfähigen USB-Stick erstellt.
Mehr Details eines verschlüsselten Rechners kann derjenige erkennen, der so einen PC/eine VM einrichtet und dann analysiert. Ich denke, den Analyse-Aufwand kann man sich sparen. Zur Übung empfehle ich die Einrichtung. Siehe unten.
Verschlüsselte PC können via Netzwerk gestartet werden; es muss dropbear darin installiert sein. Beispielsweise ein Dateiserver alias Selbstbau-NAS.
Backup einer verschlüsselten Partition: unverschlüsselte Partitionen habe ich früher mit clonezilla bequem gesichert, ebenso den Massenspeicher mitsamt dem OS und den Einstellungen (z.B. in /etc und /home).
clonezilla - vielleicht auch andere Image-Backup-SW - betrachtet die verschlüsselte Partition aber als Nicht-File-System und greift daher zu dd als Image-Backup-Werkzeug. Daher dauert dieses Backup-Verfahren dann auch sehr lange; darauf weist clonezilla (irgendwo) auch hin. Zudem werden alle Sektoren/Blöcke der Partition gesichert, auch solche ohne Daten. Meinen einzigen Versuch habe ich abgebrochen und führe nun File-basiertes Backup durch. Dauert ebenfalls vergleichsweise sehr lange.
Einstellungen sichern in /etc und /home: das muss man planen und dokumentieren. Andernfalls muss man nach einem Crash und Restore alles neu anlegen. Man denke an die Einstellmöglichkeiten von LibreOffice, Email-Clients (Zugangsdaten), Browser-Bookmarks und die eigenen Vorzugsprogramme.
Wäre die verschlüsselte Partition oder gar der ganze Rechner (Server z.B. zur Datenspeicherung anstelle auf /home) virtualisiert (VM), kann man für Backup/Restore das Diskimage der VM einfach kopieren. Dazu muss die VM abgeschaltet sein.
VM: Auch können Snapshots angefertigt werden, um zwischendurch ein Backup zu erstellen. Snapshots erfassen nur Änderungen und können daher schnell ausgeführt werden. Zuvor muss aber ein Basis-Backup angelegt worden sein. Wie immer gilt für Backup und Restore: man muss einen Plan haben, eine verständliche Dokumentation - und dann üben und verbessern.
Im Alltag sind verschlüsselte PC einfachst zu handhaben. ABER: man muss die Konsequenzen kennen und sich vorbereiten für den Crashfall. M.E. unterscheidet sich das aber nur wenig von der Handhabung/Backup/Restore eines nicht-verschlüsselten Rechners.
Passwort des verschlüsselten PC muss man sorgfältig (kompliziert, lang...) wählen und aufbewahren. Verliert man es, ist alles weg.
Nicht abschrecken lassen. Wir haben nur noch verschlüsselte Linux-PC und -server im Einsatz.