O problema é mais geral do que o caso descrito e não é específico para chroot, archlinux ou linux.
No caso geral, se um invasor tiver acesso físico ao sistema, ele poderá ler / modificar quaisquer dados armazenados no disco, seja por meios físicos (removendo o disco e montando-o em sua própria máquina, possivelmente substituindo-o posteriormente ) ou através de software (inicialize em seu próprio sistema operacional e leia / modifique dados sem restrições, conforme descrito na pergunta original).
Como você sugeriu, uma possível medida preventiva contra isso seria utilizar a criptografia. Isso evita que um invasor que não tenha a chave (arquivo, cartão inteligente, senha etc.) leia ou modifique dados significativamente.
Um invasor que encontra um sistema criptografado e não consegue recuperar a chave pode ler os dados criptografados (parece aleatório) e gravar dados que provavelmente não serão descriptografados de maneira significativa (o equivalente a gravar bits aleatórios em seu HDD). Eles podem corromper / destruir dados fazendo isso, mas caso contrário, eles não poderão instalar / desinstalar programas ou alterar senhas.
No caso de criptografia total do sistema, a chave de descriptografia é necessária no momento da inicialização. Uma vez que o sistema esteja desbloqueado, você poderá chroot como de costume (assumindo que você tenha os privilégios corretos).
A maneira como isso o protege é que você precisa da chave para fazer leituras / gravações de dados significativas e, uma vez que a chave tenha sido inserida e o sistema inicializado, as medidas de segurança do sistema operacional (autenticação do usuário, permissões, ACLs, etc. .) deve chutar para controlar o acesso.