Linux：加密 /var + 合理的否认 + 启动时快速轻松挂载

因此，正如标题所示，我正在寻找一种方便的方式来保护我的数据，同时实现合理的否认。我读过关于这个主题的 archwiki。如果可以避免，我宁愿不加密整个根系统，但我需要加密 /var 。

dm-crypt 提供了两种可信否认选项：纯文本模式和分离的 LUKS 标头，但这两种方式都非常不方便，因为它们需要输入很长且难以记住的 cryptoopen 命令。我也不喜欢将 LUKS 标头存储在非加密的 USB 驱动器中，因为如果泄露了这些信息，那么整个目的就失败了。

另一方面，VeraCrypt（TrueCrypt 的继任者）非常方便，因为它可用于在外部加密卷（充当诱饵）内创建隐藏的加密分区。可以编写一个 veracrypt 安装脚本，一旦启动，它只会要求输入密码，并且可以使用两个不同的密码来安装两个不同的分区（诱饵或隐藏分区）。

对于 Windows，它还存在一个 veracrypt 引导程序，可用于启动完全加密的系统。就我而言，我不一定想加密整个系统，但我想加密 /var，那么我仍然需要某种方式在启动时挂载加密的 /var。据您所知，在 Linux 中是否有某种（方便/快捷）的方法可以在启动时运行 veracrypt 以便在需要之前挂载 /var？

或者，你能想到用 dm-crypt 实现相同结果的其他方法吗？结果应该是：加密 /var 和 /home + 合理的可否认性 + 启动时快速轻松挂载。

谢谢您的帮助