PETER_PAN: To je úplně jiný šálek s červy, ale to by taky šlo: /boot nemusí být mountnutý, vlastně se pro chod vůbec nepoužívá. Šlo by tedy:
1. vyhodit /boot z /etc/fstab (je tam čistě kvůli pohodlí uživatele), respektive mu explicitně dát parametr `nouser,noauto` - to řeší 80% LHF.
(2. SD kartu dát fyzicky readonly - nevím, jestli se vůbec dá zařídit s microSD...?)
3. dál bootovat z USB a tedy vůbec nepoužívat SD kartu.
4. přidat do initramfs skript, který
odpojí SD kartu od kernelu (nebo si vybuildit kernel, který vůbec
nemluví s MMC kontrolérem).
Samozřejmě, dá se to _všechno_ obejít, ale ta pravděpodobnost, že si někdo připojí tohle, a všechny ty ochrany překoná, je infinitezimální - od bodu 2 dál by musel vyloženě cíleně jít po tomhle. Navíc by na to všechno, počínaje bodem 2, potřeboval roota (nebo fyzický přístup), a pokud by měl roota, tak máš výrazně větší požáry na hašení, než "krkolomně si zapne wifi od příštího rebootu".