Per proteggere con password la modalità utente singolo, è necessario sostituire la shell in modalità utente singolo con qualcosa come sulogin
. Ecco una pagina che descrive come farlo sotto i vari principali varianti RHEL, che dovrebbero coprire la tua variante Fedora.
Sto assumendo che in base alla recente disponibilità di Fedora 28 sia simile a RHEL 7, nel qual caso si vorrà controllare la riga ExecStart di /usr/lib/systemd/system/rescue.service. Il link sopra suggerisce che dovrebbe apparire come questo:
ExecStart=-/bin/sh -c "/usr/sbin/sulogin; /usr/bin/systemctl --fail --no-block default"
Se non vedi sulogin
in quella linea, questo è il tuo problema.
Si noti che nella maggior parte dei casi la richiesta di una password di avvio non ha senso a meno che non si esegua anche la crittografia del disco e che la crittografia del disco debba avere una richiesta separata per la sua password prima ancora di arrivare a questo punto. Quindi questa impostazione potrebbe essere ridondante, a seconda della configurazione del sistema, che è il tipo di sfumatura che uno strumento di controllo potrebbe non rilevare.
Per quanto riguarda il problema di rkhunter, hai installato unhide
? Questo link suggerisce che se è mancante, questo spiegherebbe perché il controllo nascosto dei processi è saltato.