Se alguém tiver acesso físico ao seu computador, ele poderá inicializar a partir de uma chave USB ou retirar o disco rígido e conectá-lo a outro computador. Para evitar que alguém altere os parâmetros de inicialização, coloque o computador em um gabinete ou sala bloqueada.
Se o computador estiver em um gabinete bloqueado, mas seu teclado estiver acessível a pessoas não confiáveis, será necessário um software para impedir a inicialização com parâmetros alternativos. Este é o trabalho do bootloader , não o trabalho do kernel (o kernel não é o software que está solicitando você para parâmetros no momento da inicialização: não é nem mesmo carregado na memória naquele ponto). Certifique-se de proibir a inicialização de qualquer porta externa exposta (por exemplo, USB, rede) no BIOS e de definir uma senha para acessar a interface de configuração do BIOS.
Se o seu gerenciador de inicialização for o Grub, ative seus recursos de bloqueio : adicione um superusers de configuração para seu grub.cfg , bem como password_pbkdf2 para definir uma senha que permita acessar a linha de comando. Não se esqueça de adicionar também a opção --unrestricted à sua entrada de menu normal. Veja o manual para detalhes e um exemplo.