linux加密grub配置

说明：

1、加密grub，防止用户修改grub引导参数，重置密码，破坏系统

2、grub.cfg通过update-grub2等命令更新，更新时调用的配置文件有/etc/grub.d/目录下文件

3、U系和R系，不同版本命令都有差异

以centos7为例

1、明文密码

vim /etc/grub.d/00_header

最后一行添加，保存

set superusers='gpysir'

password gpysir qwer1234

然后更新grub

grub2-mkconfig -o /boot/grub2/grub.conf

2、使用加密密文

grub2-mkpasswd-pbkdf2  设置密码，输入两次密码，生成密文

im /etc/grub.d/00_header

最后一行添加

set superusers='test'

password_pbkdf2 test grub.pbkdf2.sha512.10000.926126A934BC09C1B375E4FBAA2279688C5CE5D67595D35C32A9B29896A4DA35A54D8AA089A33FF822F29160C04B632BB1A94418DE1CE7C92D0DECAA920084E1.827568413982F80E8D14ABB4E0EEAA5D1736BA6933B3FB97937B1CBC214943860BBE6CB9F69EE165EE6192B1A0D21AE8B4D1E1564273C61B104FD9C9F7A4D89B

然后更新grub.conf

3、直接修改/boot/grub2/grub.cfg，在全局配置下添加密码认证；但更新grub后，配置丢失

4、重新启动系统，在按e编辑grub时需要输入用户和密码

补充：使用grub2-setpassword可同样实现grub加密

执行grub2-setpassword，连续输入两次密码，会在/boot/grub2/目录下生成密码文件user.cfg

然后即可测试，编辑grub需要输入用户root和设置的密码

查看/boot/grub2/grub.cfg，查看此处代码