¿Cómo puedo proteger el modo de usuario único para requerir una contraseña?

Una vez leí que puede modificar un archivo en el equipo para asegurarse de Usuario Único Modo de comportarse de forma diferente, llamado "boot.rc" o algo similar. Es posible modificar el comportamiento de la SUMA? Desde el acceso físico podría comprometer la seguridad de todo (excepto FileVault) es posible prevenir la SUMA de la ejecución bash e inmediatamente iniciar en la interfaz gráfica de usuario (o al menos en algo que solicite una contraseña) para que los potenciales hackers tendría ninguna manera de obtener acceso root sin contraseña?