Protegendo o conteúdo do sistema de arquivos com o TPM e o Sistema de Arquivos Criptografados

Tenho certeza de que isso é possível, mas até agora não encontrei nenhuma referência que possa me dar pistas sobre como fazê-lo. Eu preciso implantar um "appliance" com software e dados que o usuário tem permissão para usar, mas que eu preferiria evitar que eles fumassem por dentro. O usuário não terá acesso root, portanto, o sistema em execução deve ser protegido. Eu quero parar o HDD sendo puxado e montado em outro lugar.

Até agora eu instalei todos, mas / boot em um sistema de arquivos Criptografado, e sou desafiado por uma senha muito cedo no processo de inicialização. Um dos meus colegas ouviu de "algum lugar" que o TPM seria a solução para proteger o desafio da senha, o que permitiria ao sistema inicializar e descriptografar a partição raiz sem a presença do usuário raiz. Como faço para que isso funcione, pesquisei várias combinações de palavras, sem sucesso. Também instalei uma versão do GRUB compatível com o TPM, mas não tenho ideia de como / se isso realmente me ajuda.