Além da senha do grub, você também precisa configurar o BIOS para não permitir a inicialização a partir de outra mídia que não seja o dispositivo que contém seu sistema operacional principal. Você desejará definir uma senha do BIOS para que essa configuração não seja alterada.
A menos que suas unidades sejam criptografadas, o acesso físico à máquina é o acesso aos seus dados. Mesmo com uma senha do BIOS, o CMOS pode ser redefinido abrindo o chassi e removendo a bateria.