{
  imports = [ ./pam.nix ];
  security = {
    protectKernelImage = true;
  };
}