Sicher kannst du einzelne Ordner verschlüsseln (als tar packen, das Archiv dann
mit gpg verschlüsseln). Aber das ist sicher nicht das, was du möchtest. Du
willst doch eher eine transparente Verschlüsselung, also während des Betriebes.
Witi hatte dich ja schon auf das Luks-Wiki hingewiesen, das bedeutet aber zumindest
eine Neupartitionierung, da encrypt auf Partitionsebene arbeitet.
Wenn du dieses Weg möchtest (und ein gesamt oder zumindest /home verschlüsseltes
System ist nicht verkehrt), dann würde ich definitiv eine Neuinstallation anpacken.
Konfig und Daten kannst du ja wegsichern und dann zurückspielen.
Ohne Neuinstall/Partitionierung würde mir transparent noch sfs einfallen. Das exportiert
per NFS(aber verschlüsselt) auch einzelne Ordner.
Dein verschlüsselter Inhalt von $HOME würde z.B. in /c_home liegen.
Jetzt mountest du per sfs /c_home nach /home (per Export auf den lokalen Rechner),
wobei du nach einer Passphrase gefragt wirst.
In /home ist jetzt der entschlüsselte Inhalt transparent zugreif/bearbeitbar, wird aber
durch sfs nach c_home verschlüsselt.
Ohne mount mit Passphrase/Key sieht ein anderen nur c_home.
Infos:
http://www.fs.net/sfswww/
SFS ist per pacman installierbar. Das Projekt hat schon ein paar Jahre hinter sich, ich
kann über aktuelle Sicherheitsbelange dazu nicht sagen (evtl. mal ein bißchen
rumgooglen).
Auch ist die Installation/Konfig nicht trivial, aber machbar. Diese Lösung bedingt aber
auch ein Umkopieren der Daten (hier /home)
Zur Performance-Einbuße:
Die Möglichkeit mit sfs (ich hatte früher mal etwas ähnliches - cfs - laufen) kostet
definitiv mehr Ressourcen als per dm_cypt/luks, was ja als Kernel-Modul agiert.
Auf meinem Laptop (900Mhz) ist es im Normal-Betrieb nicht spürbar, lediglich bei
größeren Dateioperationen (Anzahl ode Größe) kostet es ca. 15-30% CPU-Zeit.