Debe usar Full Disk Encryption en la sdcard utilizada para arrancar el Pi. Usándolo, si el atacante se lleva la sdcard, no podrá leer su contenido. Esto protegerá las credenciales 802.1x almacenadas en la tarjeta.
Segundo, use la autenticación 802.1x en la red. 802.1x requiere inicio de sesión y contraseña para que el cliente obtenga una dirección IP. Sin un inicio de sesión y una contraseña válidos, el Pi no podrá unirse a la red incluso si el atacante conecta el cable de red en él.
Con esto, tendrá que conectar un teclado y un monitor a la Pi, para ingresar la contraseña del disco y las credenciales 802.1x. Si este Pi va a ejecutar un entorno seguro, mantenga una buena imagen de disco en otro lugar y vuelva a flashear la tarjeta cada vez que se apague el Pi. Esto evitará que el atacante entre, apague el Pi y haga retroceder el gestor de arranque (el ataque Evid Maid). Esto es obligatorio , a menos que desee que el atacante obtenga las credenciales 802.1x y la clave de cifrado del disco completo al mismo tiempo.
Punto de bonificación: nadie sin credenciales válidas podrá acceder a una habitación sin supervisión y conectar una computadora portátil.
Olvídese de la autenticación de la dirección MAC, es trivial cambiar el MAC.