Obviamente, o primeiro porto de escala será uma política sólida de senha e permissões. Isso inclui senhas de usuário e raiz e garante que os usuários tenham acesso apenas ao que precisam. A criptografia ajudará no ataque físico se você criptografar sua unidade inteira para exigir uma senha na inicialização.
Quando se trata de live boot de CB / USB, você pode definir uma senha de BIOS para evitar uma alteração de ordem ou dispositivos de inicialização. Desde que eu não tenho idéia do sistema que você tem, você terá que procurar como fazer isso. Depois de ter feito essas duas coisas, o único problema que você pode enfrentar depois disso é alguém roubar seu disco rígido e carregá-lo por meio de um caddie em outra máquina.
Para evitar redefinições de senha de inicialização (desconecte e remova a bateria do CMOS), sugiro que você bloqueie o sistema para garantir que eles não possam ser abertos pelos usuários.