Am besten, du beschreibst einmal die gesamte Festplatte mit Zufallsdaten (sofern da noch nichts drauf ist..., das wir SEHR LANGE dauern!!!)
Dann legst du darauf eine kleine unverschlüsselte /boot-Partition an.
Und du legst eine Zweite Partition an, die du mit dm-crypt und LUKS verschlüsselst.
Diese entsperrst du dann (das Device erscheint unter /dev/mapper/...) und legst darauf ein btrfs an. (Wenn du schöne Backup machen willst, dann solltest du das wollen. Andere werden dir sicher zu ZFS o.ä. raten...Hier sind die Geschmäcker verschieden)
Im btrfs erzeugst du sogelich ein erstes Subvolume für dein / (nenne es @debian)
Dann erzeugst du ein zweites Subvolume für /home (nenne das @home)
Dann gehe in das Subvolume @debian und installiere das Grundsystem mit debootstrap
Wenn das fertig ist, wechsle mit chroot in das Subvolume und installiere z.B. mit tasksel ob du einen Desktop (welchen kannst du auswählen), ssh, Mail-, Web-Server haben willst.
Installiere Kernel, WLAN-Treiber, GRUB und passe deine /etc/fstab an.
Du kannst noch eine extra SWAP-Partition (ganz am Anfang) außerhalb des btrfs anlegen. Diese kann man ebenfalls voll verschlüsseln mit dm-crypt.
Wo du deinen Schlüssel ablegst (Im Kopf und du wirst beim booten nach dem Passwort gefragt), oder auf einem externen USB-Stick, den du beim booten eingesteckt haben musst, kannst du dir dann aussuchen.
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
Hier hast du eine detaillierte Anleitung, wie du systemd dazu bringst, dass er den Key von einem externen USB-Stick liest, und ganz am Anfang einen Link, wo du findest, wie du dein gesamtes System wie oben beschrieben verschlüsselt.
lg scientific