普通用户登录系统时通过编辑启动选项可以进入单用户模式,降低了系统安全性,因此需要对grub进行加密,使不知道密码的人不能对启动选项随意设置。
�i�R
I"]�t&b3q0首先需要利用grub-md5-crypt得到密码的秘文形式,如下操作:
3o&P5m�a�~$h�@:D0[root@localhost ~]# grub-md5-crypt51Testing软件测试网)q1Q�t�{:@�Y)M�b1y6Z
Password: #输入密码
�h�X$h
I(p�H0Retype password: #再次输入密码51Testing软件测试网�P�b N2y�m
i�R7E�d
G�^
$1$0qigK$D7EWJlqEwNaQvd6JnhBq51 #得到密码的秘文形式51Testing软件测试网,A.\&d0c�d1a,v
51Testing软件测试网)f!e�P�|0`:b6W�|�s,A
更改grub.conf文件,设置对grub进行加密,如下所示:
5~�{)g�H1b�o0#boot=/dev/sda
%X�I/q�z:~�j�J6i�d�w)Q0default=0
z4b�`�e�v!z$S�l0timeout=5
v�t9W)B
R:s�|0splashimage=(hd0,0)/grub/splash.xpm.gz
�Y�D�e�?�H.r�X%P-S0password --md5 $1$/MdgK$Gi97rQbmO7VMo.PaS232h0 #启用加密选项
&p4C�o�s�F�g�p�z;T0title Red Hat Enterprise Linux AS (2.6.9-42.EL)
�\�E�Q D7k+t$u/Y5g0 lock #对被引导的系统进行加密,如果注释掉该行,则只对grub进行加密51Testing软件测试网-E d!J�i�P(O"Q'Z
root (hd0,0)51Testing软件测试网�c)}&M�m'T�D1{�x�H
kernel /vmlinuz-2.6.9-42.EL ro root=LABEL=/ rhgb quiet51Testing软件测试网&l�O!V�_�o�O7]
initrd /initrd-2.6.9-42.EL.img51Testing软件测试网;{�v7x,R�`�l!`�X
�s�v8K�F�}2_0在多系统情况下,如果不对grub加密,而只针对某个被引导的系统进行加密,则在该系统的title行下面设置lock与passwd选项,如下所示:
/x�[�D:K#x�d0default=051Testing软件测试网�~
_�z8Z�F�o�h,w
timeout=551Testing软件测试网
]0I4n�K,m%C
splashimage=(hd0,0)/grub/splash.xpm.gz
%P&@)a7s�k0title Red Hat Enterprise Linux AS (2.6.9-42.EL)51Testing软件测试网�y c2B
`*m
lock
[ h4l�Y2F0e�X0 password --md5 $1$/MdgK$Gi97rQbmO7VMo.PaS232h0
)u3W!m�Q�R�E5h#E7I0 root (hd0,0)
/a�{�\+N-| F�T8^0 kernel /vmlinuz-2.6.9-42.EL ro root=LABEL=/ rhgb quiet
u6_�\�l3y�R�F�e0 initrd /initrd-2.6.9-42.EL.img
:O�]�w"b�H"\0
�C1P;}4o1e7g�f0title Red Hat Enterprise Linux AS51Testing软件测试网 H�h�?�R�B�U/i�X�~6S�p
root (hd0,0)
�v�b�}(W&N0 kernel /vmlinuz-2.6.9-42.EL ro root=LABEL=/ rhgb quiet51Testing软件测试网�l-Y�|4b�N
initrd /initrd-2.6.9-42.EL.img51Testing软件测试网�g8S#r)q�C S�E
U&T
51Testing软件测试网�M�j�m�Z%c
]�\
