Не имеет смысла шифровать только /home. Шифруйте заодно /var и swap. Самый удобный для использования вариант - шифрование всего накопителя LUKS'ом. Остаётся только раздел efi, т.к. раньше невозможна была загрузка с криптованного раздела, сейчас появился cryptoboot, но у себя пока не развернул его. На полностью шифрованный накопитель ставим lvm. Получаем +1 уровень абстракции от lvm. Также естественно потеря скорости из-за этого и из-за шифрования. На ssd не сильно заметна эта разница, но на HDD возможен другой результат. Указанный процесс хорошо описан
https://wiki.archlinux.org/index.php/Dm-crypt/Encr... здесь, также там есть overview основных способов шифрования целого накопителя кроме truecrypt/veracrypt.