Sie können die Startpartition nicht verschlüsseln, da Sie die Pre-Boot-Umgebung von ihr starten müssen. Das Verschlüsseln der Bootpartition hilft bei nichts.
Bei vielen Standard-Linux-Installationen (einschließlich Ubuntu) können Sie beim Booten "vollständige Festplattenverschlüsselung" auswählen und benötigen kein Grub-Kennwort als Teil der GUI. Dadurch wird die "Pre-Boot" -Umgebung von einer RAM-Platte geladen und diese und LUKS zum Entsperren der Partition verwendet.
Nach dem Booten ist es normalerweise ein zweiter Schritt, um sich als bestimmter Benutzer mit Kennwort anzumelden. Sie können jedoch die automatische Anmeldung an der GUI festlegen . Selbstverständlich ist Ihr System weit offen, wenn Sie sich von Ihrem Computer entfernen und ihn dort lassen.
Anscheinend (aber ich habe es nicht getestet) unterstützt Ubuntu nativ TPM 2.0 . (Ich gebe zu, skeptisch zu sein, dies wird automatisch konfiguriert, aber ich habe es nicht versucht.)