No, non che io sappia. Potresti forse rimuovere il dmsetup binary dal sistema e tenerlo solo nel disco ram iniziale, il che sarebbe sufficiente per impostare i volumi crittografati all'avvio della macchina, e quindi eseguire il chroot del ramdisk iniziale fuori dalla portata nel sistema avviato, ma questa sarebbe solo una misura di stopgap. Potresti essere in grado di migliorarlo con i profili di apparmor un po ', ma non renderlo impermeabile (specialmente non contro un semplice download del file binario dalla rete).
Detto questo, Luks è progettato per mantenere riservati i dati solo quando è a riposo. Se stai cercando di evitare di rubare la chiave di luks mentre il container è in uso, molto probabilmente si rivelerà senza speranza.
Per espanderci un po ': anche se il dmsetup binary potrebbe essere forzato a non emettere la chiave, root avrebbe comunque accesso a / proc /, che gli consentirebbe l'accesso alla memoria di sistema, alla crittografia e alla decrittografia, ecc. L'unico modo per mantenere la chiave abbastanza sicura sarebbe impedire al kernel stesso di accedere alla chiave, e ovviamente non è possibile con il solo software.