C TPM это должно работать нормально, LUKS для системного диска да, надо вводить пароль при запуске, если шифровать другие диски, то вот короткая тема, суть в том, что ключ шифрования доп. дисков лежит в открытом виде на загрузочном диске + есть приколы всякие с настройкой, но работает
С другой стороны, ZFS тоже умеет шифрование пулов и датасетов