Unter FreeBSD ist es sonst recht einfach - viel einfacher als unter Linux - das System bis eben auf den Bootloader komplett zu verschlüsseln. Ohne das Passwort geht dann gar nichts. Wenn einem das Passwort nicht ausreicht, kann man für sein Root-Dateisystem noch Keyfiles mit `gshsec' auf Sticks verteilen. Wenn man Angst vor Angriffen auf den Bootloader hat, unterstützt FreeBSD auch Secure Boot. Allerdings nur mit eigenem Schlüsselmanagement, wenn man keinen externen Boot-Shim nutzen möchte. Da man dem UEFI vertrauen muss, kann man auch Secure Boot vertrauen. Ob es wirklich sinnvoll ist, ist eine andere Frage...