Нифига, для совсем параноиков так:
1) Максимально ограничить использование сети. В идеале отключить совсем. Убрать все ненужные (в идеале все) сетевые сервисы.
2) Отключить swap или использовать зашифрованный swap. В обоих случаях про hibernate придется забыть - но ведь нам нужна безопасность, а не удобство, правда?
3) Поставить пароль в GRUB на изменение параметров загрузки - защита от дурака. Не позволит ламеру загрузиться в single mode и стереть все нафиг.
4) В системе должен быть только один пользователь.
5) Шифрование корневой файловой системы. После этого пользователю можно даже поставить автовход - пароль будет вводиться при загрузке.
6) На всякий случай - сделать enforce для всех имеющихся профилей AppArmour.
Но на самом деле, все вышеперечисленное не спасет от:
1) Слабого пароля и плохой памяти.
2) Собственной беспечности.
3) Оппонента, снабженного знаниями, временем, техническими возможностями и диким желанием.
По реализации каждого пункта - полная информация в гугле. Да, наверняка я что-то забыл.