Автоматическая расшифровка файловой системы с помощью файла-ключа.

Интересная идея, спасибо.

Добавляешь ключ к luks разделу, указываешь на ключ в /etc/crypttab. Только позаботься, чтобы раздел с tmpfs был подмонтирован, до того, как это все будет монтироваться. Ничего особенного.

Не до конца понял. Ведь корень полностью зашифрован. Как он при запуске увидит параметры которые прописаны в /etc/crypttab? Насколько я понимаю, это можно осуществить с помощью grub'a, но у меня не получилось, видимо конечности кривоваты...

https://askubuntu.com/questions/729673/ubuntu-full-disk-encryption-with-encry..., c разделом только кастомно как-то придется сделать, чтобы tmpfs вовремя монтировалась, то проблемы не вижу. Я вижу серьезную проблему с обновлением ядра. И если в Ubuntu есть canonical-livepatch, то в Debian просто такого нет. Также возможно стоит /boot оставить, так как не вижу сильно много в этом плохого. Но в целом, сначала делаешь full-disk encryption и разбираешься с этим, а уже потом, после того как снимешь копию VM, добавляешь ключ, и разбираешься как вовремя монтировать раздел.

за ссылку спасибо, почитаю, попробую /boot на отдельном разделе, так что проблем не будет.

Можешь попробовать также добавить тестовый второй ключ, который будет на boot, потом же его удалить с раздела, и проверить как пойдет загрузка с нужным файлом в tmpfs, и если не получится то, вернуть его. А потом когда настроишь, отключить первый ключ. Впрочем снять копию VM, наверно будет проще. Хотя пароль наверно будет еще быстрей ввести, если загрузка остановится.

Есть дурацкий вопрос - а в efi нельзя хранить какую-нибудь строчку ?

Строчка передается в grub. Разве, что хранить ключ на efi. С другим загрузчиком, возможно, но там тоже скорей всего будет передаваться строка cryptdevice для root и нужных разделов.