Desculpe, mas não consigo entender o que você quer dizer com "criptografado em repouso"
se você quiser criptografar partes do sistema, eu recomendaria lukscrypt e lvm.
você precisará instalar o LVM ao instalar o servidor Gostaria apenas, mas o banco de dados e os arquivos que você precisa para manter criptografado em um volume lógico no LVM e exigir a abertura manual da partição criptografada após cada reinicialização