使用 TPM 和加密文件系统保护文件系统内容

我确信这是可能的，但到目前为止还没有找到任何参考资料可以告诉我如何做到这一点。我需要部署一个“设备”，其中包含允许用户使用的软件和数据，但我希望防止他们在内部闲逛。用户将没有 root 访问权限，因此应该保护正在运行的系统。我想阻止硬盘被拉出并安装到其他地方。

到目前为止，我已将除 /boot 之外的所有内容安装到加密文件系统中，并且在启动过程的早期就要求我输入密码。我的一位同事从“某处”听说 TPM 将是保护密码挑战的解决方案，这将允许系统在没有 root 用户存在的情况下启动和解密根分区。我如何让它工作，一直在谷歌搜索各种组合，但无济于事。我还安装了 TPM 感知版本的 GRUB，但不知道这如何/是否真正对我有帮助。