首先生成PBKDF2加密密码,再在/etc/grub.d/40_custom中设置superusers并填入哈希值,接着配置/etc/default/grub启用权限控制,最后更新GRUB配置文件并重启验证,确保启动编辑需认证。
在Linux系统中,GRUB(Grand Unified Bootloader)是系统启动的关键环节。如果未对GRUB进行保护,攻击者可以通过单用户模式或编辑启动项绕过认证,获取root权限。为防止此类安全风险,必须为GRUB设置引导密码,实现安全启动控制。以下是完整的GRUB引导密码加固步骤。
生成加密的GRUB密码
直接在配置文件中存储明文密码存在风险,因此应使用grub-mkpasswd-pbkdf2命令生成PBKDF2加密口令:
- 打开终端并执行:grub-mkpasswd-pbkdf2
- 输入并确认你想要设置的管理员密码
- 命令输出一段以
PBKDF2 hash of your password is开头的加密字符串 - 复制该完整哈希值,后续将用于GRUB配置
创建GRUB配置用户及密码文件
需要创建一个专用配置文件来存储加密密码,并定义管理员角色。
- 创建文件:/etc/grub.d/40_custom 或单独使用 /etc/grub/password
- 推荐方式是在 /etc/grub.d/40_custom 中添加以下内容:
set superusers="admin" password_pbkdf2 admin your_encrypted_hash_here
其中admin是用户名,可自定义;your_encrypted_hash_here替换为你上一步生成的完整哈希值。
禁止普通菜单编辑与启用权限控制
默认情况下,用户可在启动时按'e'编辑启动项。通过superusers机制可限制此行为。
- 确保/etc/default/grub中包含以下设置:
GRUB_DISABLE_RECOVERY="true" GRUB_TIMEOUT=5 GRUB_SUPERUSER="admin"
这样只有superuser才能修改启动参数或进入恢复模式。
更新GRUB配置文件
所有更改完成后,必须重新生成GRUB配置,使设置生效。
- Debian/Ubuntu系统执行:sudo update-grub
- CentOS/RHEL系统执行:sudo grub2-mkconfig -o /boot/grub2/grub.cfg
注意:不同发行版路径可能略有差异,请确认/boot下的实际grub目录结构。
验证GRUB密码是否生效
重启系统,在GRUB菜单界面尝试按'e'编辑任意启动项。
- 系统应提示输入用户名和密码
- 输入正确的superuser账号和密码才能继续编辑
- 若无法弹出认证框或可直接编辑,说明配置有误,需检查哈希格式与superusers设置
基本上就这些。只要正确生成加密密码、配置superuser权限并更新引导文件,就能有效防止未经授权的启动项修改。这一措施是服务器和敏感环境安全加固的基础步骤,建议与其他安全策略(如磁盘加密、内核锁定)配合使用。不复杂但容易忽略。
