A melhor coisa a fazer é usar a criptografia de disco completo (LUKS) em todo o disco.
Além disso, você deve definir uma senha do BIOS.
Eu não me incomodaria em colocar /boot
em uma unidade USB que você tira porque alguém pode abrir o computador, retirar a unidade e conectar a unidade a outra máquina para espionar seu conteúdo. Uma vez que alguém tenha acesso físico ao seu hardware, eles terão praticamente acesso a qualquer coisa que não esteja criptografada.