Você pode adicionar uma senha ao menu do grub - mas outra questão é que um invasor também pode inicializar a partir de um Live CD ou similar, e praticamente faz o mesmo que se tivesse acesso ao modo de recuperação
Portanto, eu recomendaria definir uma senha de BIOS de inicialização, se possível (isso depende do seu hardware), portanto, na inicialização (antes mesmo de chegar ao Grub), ele mostrará um prompt de senha. Isso pode ser contornado em algumas máquinas, redefinindo bits de hardware, mas ainda torna a vida mais difícil para os invasores.Observe também, como discutido nos comentários abaixo esta postagem sobre como redefinir a senha de administrador que ter acesso físico à máquina significa que um invasor pode usar várias maneiras de contornar a segurança, como senhas, simplesmente desmontando a máquina. Se você acredita que tal segurança para seus dados no computador é necessária, a criptografia de disco completo ou similar pode ser o caminho a percorrer - embora se você precisar recuperar os dados no caso de alguma falha de software / hardware, isso pode dificultar / impossível.
Para descobrir alguns dos extremos de proteção que você pode usar, tente esta questão .