Поздравляю, ты изобрел initramfs! Бери готовый пример и вперед, делай глупость.

дополнение

Спасибо, ушел читать. Это делается в рамках дипломной работы, пользой мне видится то, что все системные файлы и БД зашифрованы на харде, ключ только в ОЗУ, и если наш сервер расположен в облаке или обслуживается в сторонней организации, сисадминам гораздо сложнее похитить или модифицировать наши данные, чем если бы они лежали в открытом виде, т.к. одно дело - забрать домой «сломавшийся» диск или слить бэкап, и совсем другое - снять дамп ОЗУ запущенного сервера. А, как вариант, пока сделать упрощенную версию - вся система на открытом диске и монтируются только определенные папки, как /etc, /home, /opt - смысл похожий?

посмотри в гугле три слова: dropbear, ssh, luks.

Вопросы отпадут сами собой.

Смена корневой ФС выполняется с помощью pivot_root(8). А вообще да, выше правильно отметили, что правильный механизм для таких вещей уже придуман и называется initramfs.

Сама концепция «подключается к серверу ключей, получает по сети ключ для монтирования диска (криптографию оставим пока)» кажется мне полным бредом. На основании чего ты дашь хосту ключ? Почему он не выдастся, когда хост скомпрометируют?

Тут только за счет обфускации получается защита, согласен. Расчет больше на защиту от рядовых сисадминов или утерю жесткого диска, от активной атаки не поможет.

ну так может сделать как умные люди придумали?

Имеете в виду dropbear+luks? Как раз что-то такое и хотел найти, не получалось нагуглить. Думаю, это оптимальное решение.