Obtenha seu config.gz atual e implante-o em uma árvore de origem, conforme descrito nesta resposta .
Inicie o make menuconfig e vá para o submenu "Device Drivers". Certifique-se de que os drivers "Serial ATA e Parallel ATA (libata)" estejam desabilitados. Role para baixo até o submenu "Suporte USB" e verifique se "USB Mass Storage" está desativado. Você pode desativar completamente o USB também, se quiser.
Se não houver mais nada, você conclui a configuração e pode criar o kernel.
De acordo com o meu comentário sobre a questão, se este é um ambiente onde você está seriamente preocupado que alguém possa abrir a caixa para redefinir o BIOS, essa pessoa também encontrará uma maneira de contornar isso - você não pode proteger o hardware com o sistema operacional. Se você realmente precisa fazer isso, desconecte e remova os conectores USB. WRT para as portas SATA, você provavelmente não pode fazer muito a menos que você queira desolder-los ou algo assim. Você precisa bloquear o caso. Uma configuração em que alguém pode acessar a placa-mãe e brincar com a impunidade simplesmente não é segura de outra forma.
Mesmo assim, se a máquina inicializar de uma rede, imagino que poderia trazer um laptop e trocar alguns cabos ... depende do que você está tentando realizar, eu acho.