[Comm] Девиантные методы работы с зашифрованной системой

[Michael A. Kangin]

Добрый день.

Я хочу зашифровать на рабочем компьютере весь диск (/, swap, etc.), но 
при этом оставить возможность компьютеру при загрузке поднимать сеть, 
коннектиться по openvpn, и ждать по ssh пароля на расшифровку, чтобы 
можно было его удалённо включать/перезагружать.

Сначала мысли была в сторону продакшн-среды внутри виртуалки, которая 
поднималась бы с зашифрованного раздела, но я обломился с пробросом 
видеокарты внутрь неё.

Теперь остаются две идеи - жырный initrd с сетью, sshd и openvpn, или 
простенькая бутстрап-система (возможно, в формате squashfs), которая 
потом будет делать pivot_root в настоящую.

Что лучше и проще, подводные камни, на что посмотреть?

-- 
Michael A. Kangin