Ты вообще понимаешь о чём говоришь, гений? Как устроен процесс загрузки ядра? Что такое процесс инициализации?// https://github.com/torvalds/linux/blob/master/init/main.c :
static int __ref kernel_init(void *unused)
{
//...
if (!try_to_run_init_process("/sbin/init") ||
!try_to_run_init_process("/etc/init") ||
!try_to_run_init_process("/bin/init") ||
!try_to_run_init_process("/bin/sh")) // sic!
return 0;
//...
}
$ stat -c%N /sbin/init
'/sbin/init' -> '../lib/systemd/systemd'
Дальше нужно объяснять? Или ты сам видишь, что без системды у тебя рут-шелл вместо инита?
Повторяю для самых одарённых похов, нахов, няшей и прочих анонимных опеннет-экспертов: доступ к железке (хотя бы удаленный доступ к вводу на этапе загрузки) - это уже больше, чем "рут". Спасёт только дисковое шифрование данных и хранение пароля (а ещё лучше - заголовков LUKS и всего загрузчика, монтируемого на чтение, удаленно, только на момент загрузки) в надежном месте. TPM - надежным местом для паролей не является by design. Глупо полагаться, что в процессе загрузки ядра ничего не случится. Когда железки сообщают кривые ACPI/APM из кривых "биосов", а ещё до монтирования разделов (до cryptsetup) загружаются ранние модули ядра (привет, Невидии!). Слишком много переменных.