No, no que yo sepa. Tal vez podría eliminar el binario dmsetup del sistema y solo mantenerlo en el disco ram inicial, lo que sería suficiente para configurar los volúmenes cifrados cuando la máquina arrancara, y luego chrootear el ramdisk inicial fuera del alcance en el sistema arrancado, pero Esto solo sería una medida provisional. Es posible que pueda mejorarlo un poco con los perfiles de apparmor, pero no hacerlo hermético (especialmente no contra una simple descarga del binario desde la red).
Dicho esto, Luks está diseñado para mantener la confidencialidad de los datos solo cuando está en reposo. Si está tratando de evitar que le roben la llave de los luks mientras el contenedor está en uso, lo más probable es que no tenga remedio.
Para ampliar eso un poco: incluso si el binario dmsetup se pudiera convencer para que no envíe la clave, la raíz todavía tendría acceso a / proc /, lo que le permitiría acceder a la memoria del sistema, al cifrado y descifrado, etc. La única manera de mantener la clave bastante segura sería evitar que el núcleo mismo tenga acceso a la clave, y eso obviamente no es posible con solo el software.