A aposta segura seria fazer o hash de todos os arquivos em / boot (o kernel, o mapa do sistema, o MBR e a configuração do gerenciador de inicialização) - mas quem é a má empregada não vai simplesmente substituir os hashes? Então agora você precisa implementar o GPG para assinar & verifique o arquivo de hash. Mas e se a empregada malvada subverter GPG ?? Arghhh ...
Então, sugiro que, se você estiver realmente preocupado com essa empregada maligna, uma solução melhor é manter / inicializar um dispositivo USB tipo chaveiro removível no seu cinto. Só é necessário para inicializar depois de tudo. Eu uso um bacana em uma corda elástica.