Se alguém tiver acesso físico ao seu computador, ele poderá executar o código desejado, inicializando em uma mídia alternativa. Ou, se você bloqueou isso, eles podem retirar o disco rígido e conectá-lo ao computador.
Você não pode impedir que as pessoas executem códigos em seu computador se tiverem acesso a elas, mas você pode impedi-las de acessar seus dados, criptografando-as. Então, se eles acessarem seu computador, eles verão apenas os dados criptografados e não poderão descriptografá-lo, a menos que consigam a chave de criptografia.
Como você é novo no Linux, recomendo que você reinstale sua distribuição e selecione "criptografia de disco total" (ou algum nome semelhante) durante a instalação. A maioria das distribuições, incluindo o elementary OS, oferece essa possibilidade. Embora seja possível converter uma instalação para ser criptografada, ela é bastante avançada, com um alto risco de apagar os dados por engano. Portanto, verifique se seus backups estão atualizados e reinstale.
A maneira simples de configurar a criptografia é com uma senha. A desvantagem de uma senha é que, para ser seguro, ela precisa ser suficientemente aleatória, e uma senha suficientemente aleatória é difícil de memorizar. Uma senha que não é aleatória o suficiente pode ser adivinhada. Uma bom compromisso é para aleatoriamente gera uma frase-senha composta de várias palavras (isso é muito melhor do que o habitual mau conselho de l33tspe4k + pontuação ).
O sistema de criptografia de disco do Linux ( dm-crypt ) também suporta o uso de um “arquivo de chave”. Um arquivo de chave é essencialmente uma senha, mas lida de um arquivo em vez de ser digitado no teclado. A vantagem de um arquivo de chave é que ele pode ser lixo aleatório longo e impossível de ser adivinhado (mas impossível de memorizar, e é por isso que você o armazena em um cartão inteligente ou chave USB). Até onde eu sei, distribuições comuns não oferecem uma maneira chave para configurar isso, então você tem que executar a configuração manualmente. Veja como configurar o LVM & LUKS para autodecrypt partição? ou Como carregar a senha LUKS do USB, voltando ao teclado? para instruções.
Se você não quiser permitir que a senha memorável que você criou no início para desbloquear o disco, adicione uma senha longa, aleatória, não memorizável, mas tipificável como outra chave de descriptografia ( cryptsetup luksAddKey /dev/sda2 'the long random non-memorable but typable password' ). Imprima a longa senha aleatória não memorável, mas tipificável e armazene o papel em um cofre. Teste o funcionamento e remova a senha memorável que você criou no início ( cryptsetup luksRemoveKey ).
Poder usar a chave USB para desbloquear a exibição quando você já estiver conectado funciona de maneira diferente. Nesse ponto, a chave de criptografia de disco ainda está na memória, tudo o que você precisa fazer é provar ao computador que está autorizado a usá-la. Para isso, uma senha mais curta (mas ainda não completamente trivial) é válida, porque se o invasor tentar usar a senha, ela será limitada pela velocidade com que o computador aceita tentativas. É um ataque online, ao contrário das chaves de decodificação, que podem ser feitas offline em paralelo em hardware especializado.
Se você quiser usar a chave USB para desbloquear seu computador, a postagem do blog que você vinculou parece ser uma maneira razoável de fazê-lo (não verifiquei todos os comandos detalhadamente). Se você não conseguiu fazer isso funcionar, sugiro fazer uma pergunta mais precisa neste site: o que você fez (copiar e colar os comandos)? Qual foi o comportamento exato (copiar e colar todas as mensagens)?
Seu sistema ainda estará vulnerável a ataques mais avançados. A criptografia não protege contra maus ataques de empregada . Para isso, você precisa configurar a inicialização segura. O uso básico de software de criptografia também não protege contra ataques de inicialização a frio , em que o invasor pega os dispositivos de RAM de um sistema ativo e espera ler a chave de criptografia que ainda está em algum lugar. Existem correções do kernel do Linux para evitar o armazenamento da chave na RAM (ela é armazenada apenas em registradores da CPU, o que pode praticamente ser extraído por meios físicos).