Az, hogy mit raksz külön és mit nem, az függ attól, hogy mire használod a gépet. Amit én mindenképp külön szoktam választani, az a /var /home (nosuid,nodev) a /tmp (nosuid,nodev,noexec), illetve ha van helyben forgatott, nem repóból jött alkalmazás, akkor az mondjuk a /opt (nosuid,nodev) alá megy nálam.
A /var alól még a /var/log is különpakolható, ha AD-integrált a géped (akár pbis, akár sssd), mert az "nem szereti" ha a /var alatt nullára fogy a hely - szélsőséges esetben csak lokális userrel lehet belépni.
Amit _semmiképp_ nem választanék le a root (/) alől, az a root user home könyvtára.
Ha titkosítani kell, akkor a / _is_ legyen titkosítva (hiszen a hostot a hálózaton azonosító adatok, pl. ssh vagy épp kerberos (ad-integráció) kulcsok, vagy épp a webszerver privát kulcsa ugyanis jellemzően ott van. Ugyancsak titkosított kötet legyen a swap alatt is - hiszen a swap-ban pláne lehetnek szenzitív adatok.
A swap jó dolog, célszerű, hogy legyen "valamennyi", mert a paging normál működés és kellő mennyiségű RAM esetén is előfordulhat.