Как зашифровать /boot раздел при установке?

Устанавливаю Ubuntu 22.04, Legacy/MBR Boot (это важно). Хочу зашифровать системный раздел (даже /boot!). Если вообще делать отдельный раздел /boot, то он также должен быть либо зашифрован, либо в readonly файловой системе - т е squashfs, EROFS, либо же ext(2/3/4) с EXT4_DEDUP_BLOCK (кто знает про раздел super в последних Android-ах, тот поймет, о чем я). Гайдов в интернете немного, тем более конкретно по Ubuntu, а что ещё хуже, там не шифруется /boot, что чисто с точки зрения безопасности весьма плохо. Сунул туда rootkit и подменил опции в grub.cfg - и система скомпрометирована. Шифрование использую как альтернативу Secure Boot, который есть только в UEFI (да ещё и проблемный из-за ключей Microsoft-а, если верить статьям с Хабра об UEFI).