Вопрос таков, как добавить ключ luks, чтобы initramfs расшифровывал им диск, который после монтируется как root раздел системы, слышал, что такое возможно, мне нужно для того, чтобы при загрузки из bios ненужно было вводить два раза пароль, но не нашел достойных инструкций, если это и делают, то только через lvm и crypttab, но этот вариант мне не подходит, есть ли возможность реализовать это на установке с grub, bios, и таблицей mbr, система archlinux?
Wexter, pfg21, Например, это реализованно в устнановщике manjaro, что по поводу безопасности, то для получения доступа к этому ключу нужно превдорительно разшифровать загружчик, так что ключ находится в безопасности.
Шифрование ФС без доверенной загрузки не имеет смысла. Когда Вы не контролируете состояние железа (глазами и руками, т.е. в любой момент можете "посмотри и потрогай") - Вы судите о состоянии сервера только по набору неких признаков, вовсе не обязательно отражающих его реальное состояние.
Если Вы никому не интересны, задача шифрования ФС особо не имеет смысла, потому что Вы никому не интересны.
Если Вы кому-то интересны, то пропорционально этому интересу, персонально для Вас могут сделать то-то и то-то (все очень индивидуально, зависит от того, кто Вы и какой интерес к Вам и насколько он велик)
используйте TPM, шифрование без дополнительного подтверждения (пароль, токен и т.п.), либо при возможности внести изменения в конфигурацию загрузки (которое и блокирует TPM) - не имеет смысла.