Ubuntu 18.04 LTS, обеспечивающая загрузку и шифрование данных на жестком диске с помощью TPM 2.0

Я хочу сдать в аренду ПК с программным обеспечением (программное обеспечение для киосков). Я хочу, чтобы люди, которые арендуют этот компьютер, не могли читать какие-либо данные на его жестком диске. Но у них будет физический доступ к этому ПК. Будет материнская плата asus, будет внешний модуль TPM 2.0. В системе будет два пользователя - root и kiosk, оба с секретными паролями.

Вопрос в том, каков наилучший и современный способ защиты данных (если кто-то попытается прочитать данные с живого компакт-диска или с изменением оболочки при загрузке)? Я изучил эту проблему и пришел к выводу, что должен осознать следующее:

1. Включить UEFI и безопасную загрузку в настройках BIOS
2. Подписать загрузочные части системы (этот момент требует уточнения - какие части ? список grub / или может быть использование grub2 / initrd ... и т.д ....).
3. Дальнейшие действия - использовать dm-crypt / crypttab / LUKS для установки полностью зашифрованного жесткого диска на основе TPM 2.0
4. Каким-то образом установить все сертификаты на TPM 2.0

Но все же я Не можете понять, что является лучшим и самым простым (для автоматической настройки всей системы шифрованием с помощью sh-скриптов)? Должен ли я использовать все инструменты, упомянутые в 3 пар. в списке, или пара из них?

Может быть, есть какая-нибудь пошаговая информация с объяснением каждой команды?

Заранее спасибо.