Шифрования целого диска /dev/sdx. без y!

Что значит «без y»?

Видимо номер раздела.

Может CRYPTSETUP=y как тут Полнодисковое шифрование (cryptsetup) c UEFI и NVME

ТС, разберись как работает initrd/initramfs.

А почему без Y?

Достаточно хранить бэкапы Y в другом месте.

Важно еще при этом хорошенько защитить канал обмена с криптотокеном:

forum.rutoken.ru/post/14860

Вероятно нужна смарткарт Rutoken ECP3.0 NFC или JaCarta v2 или грядущая JaCarta v3.

Btw, даже у JaCarta v2 уже есть защита канала обмена данными и скоро еще появится RSA 4096.

Уточните, пожалуйста, какой в этом практический смысл.

ну это как без «б», только без «у»

Если вам необходимо загружаться с единственного диска, в котором зашифрована даже GPT таблица, то вариантом будет использование специального модуля для UEFI, который будет каким-то образом добывать ключ шифрования (например спрашивая пользователя), после чего создавать разделы, видимые в UEFI для возможности дальнйшей загрузки.

Этот модуль нужно будет как-то загрузить в UEFI, либо зашив непосредственно в прошивку, либо положив куда-нибудь в Option ROM.

Так что в первую очередь было бы интересно узнать практический смысл вашего замысла. Скрыть от посторонних взглядов GPT таблицу?

Грузи ядро с внешней флэшки, а система можеть при этом быть на полность люксованном диске, разделы уже внутри /dev/mapper/X

Грузи ядро с внешней флэшки, а система можеть при этом быть на полность люксованном диске, разделы уже внутри /dev/mapper/X

Мне показалось что автор сообщением «Если да, то что указать в grub под cryptdevice» намекает что хочет сделать этот шифрованный диск загрузочным. В свою очередь он не доконца понимат что grub тоже будет зашифрован. Как и GPT разделы.