Você está certo de que o nível de execução 1 ou o "modo de usuário único" podem ser usados para redefinir a senha raiz, pois ela faz o login automaticamente na raiz. De fato, está muito bem documentado: link
Essa é uma parte básica do sistema operacional Linux e é usada apenas em cenários de recuperação. É por isso que uma das medidas básicas de segurança a tomar é proteger fisicamente o acesso à caixa, para que outro usuário não possa fazer isso maliciosamente.
Lembre-se também de que haverá registros de auditoria mostrando o que aconteceu e, é claro, sua senha de root será alterada. Se você está preocupado com alguém em sua organização fazendo isso, você precisa trancar a porta. (É por isso que as salas de servidores geralmente são bloqueadas com um nível de segurança mais alto que a maioria dos lugares no prédio. Acesso físico = reinado livre )
Mais algumas reflexões, se você for realmente SÉRIO sobre proteger sua máquina:
- Como afirmado anteriormente, bloqueie o acesso físico à caixa.
- Use uma senha do BIOS.
- Use um utilitário semelhante ao agora extinto TruCrypt para criptografar sua partição de inicialização.