Para ese tipo de "paranoia" (en el buen sentido de la palabra), lo ideal es implementar varias soluciones. Por nombrar algunas:

1. Poner un password a tu BIOS y ajustar el orden de lectura de los dispositivos de inicio (ningún equipo está seguro ante un live-cd ).
2. Poner un password al gestor de inicio, usualmente GRUB.
3. Usar un sistema de archivos cifrado. En google hay bastante información al respecto.
4. Establecer una política de passwords bien pensada. De nada sirve cifrar tu sistema si la contraseña es tu fecha de nacimiento.

En general es (casi) imposible recuperar una contraseña de usuario en Linux, ya que se almacena encriptada y se requiere mucho tiempo y esfuerzo (y mucha suerte) para desencriptarla. Pero sí es posible cambiarla, usando un live-cd o iniciando en modo monousuario (vía modificar opciones de GRUB).