Linux如何加固GRUB引导密码_Linux安全启动配置完整步骤

首先生成PBKDF2加密密码，再在/etc/grub.d/40_custom中设置superusers并填入哈希值，接着配置/etc/default/grub启用权限控制，最后更新GRUB配置文件并重启验证，确保启动编辑需认证。

在Linux系统中，GRUB（Grand Unified Bootloader）是系统启动的关键环节。如果未对GRUB进行保护，攻击者可以通过单用户模式或编辑启动项绕过认证，获取root权限。为防止此类安全风险，必须为GRUB设置引导密码，实现安全启动控制。以下是完整的GRUB引导密码加固步骤。

生成加密的GRUB密码

直接在配置文件中存储明文密码存在风险，因此应使用grub-mkpasswd-pbkdf2命令生成PBKDF2加密口令：

• 打开终端并执行：grub-mkpasswd-pbkdf2
• 输入并确认你想要设置的管理员密码
• 命令输出一段以PBKDF2 hash of your password is开头的加密字符串
• 复制该完整哈希值，后续将用于GRUB配置

创建GRUB配置用户及密码文件

需要创建一个专用配置文件来存储加密密码，并定义管理员角色。

• 创建文件：/etc/grub.d/40_custom 或单独使用 /etc/grub/password
• 推荐方式是在 /etc/grub.d/40_custom 中添加以下内容：

set superusers="admin"
password_pbkdf2 admin your_encrypted_hash_here

其中admin是用户名，可自定义；your_encrypted_hash_here替换为你上一步生成的完整哈希值。

禁止普通菜单编辑与启用权限控制

默认情况下，用户可在启动时按'e'编辑启动项。通过superusers机制可限制此行为。

• 确保/etc/default/grub中包含以下设置：

GRUB_DISABLE_RECOVERY="true"
GRUB_TIMEOUT=5
GRUB_SUPERUSER="admin"

这样只有superuser才能修改启动参数或进入恢复模式。

有道智云AI开放平台

有道智云AI开放平台

116

查看详情

更新GRUB配置文件

所有更改完成后，必须重新生成GRUB配置，使设置生效。

• Debian/Ubuntu系统执行：sudo update-grub
• CentOS/RHEL系统执行：sudo grub2-mkconfig -o /boot/grub2/grub.cfg

注意：不同发行版路径可能略有差异，请确认/boot下的实际grub目录结构。

验证GRUB密码是否生效

重启系统，在GRUB菜单界面尝试按'e'编辑任意启动项。

• 系统应提示输入用户名和密码
• 输入正确的superuser账号和密码才能继续编辑
• 若无法弹出认证框或可直接编辑，说明配置有误，需检查哈希格式与superusers设置

基本上就这些。只要正确生成加密密码、配置superuser权限并更新引导文件，就能有效防止未经授权的启动项修改。这一措施是服务器和敏感环境安全加固的基础步骤，建议与其他安全策略（如磁盘加密、内核锁定）配合使用。不复杂但容易忽略。

以上就是Linux如何加固GRUB引导密码_Linux安全启动配置完整步骤的详细内容，更多请关注php中文网其它相关文章！