{ ... }:
{
  security.protectKernelImage = true;
}