linux中g(shù)rub啟動引導(dǎo)程序的加密介紹

更新時間：2021年12月10日 09:47:28 作者：繁華似錦Fighting

大家好，本篇文章主要講的是linux中g(shù)rub啟動引導(dǎo)程序的加密介紹，感興趣的同學(xué)趕快來看一看吧，對你有幫助的話記得收藏一下，方便下次瀏覽

1、什么是grub加密

上篇文章說了，系統(tǒng)在開機(jī)的時候，有一個5秒的讀秒時間，方便你進(jìn)入到grub界面中。

如下圖所示：

此時我們按下Enter鍵，就可以進(jìn)入到grub界面中。

如下圖所示：

在選擇框的正下方可以看到有幾行提示：

# 使用 ↑ 和 ↓ 鍵高亮某個選項，并按回車鍵確認(rèn)來引導(dǎo)選定的操作系統(tǒng)。
Use the ↑ and ↓ keys to select which entry is highlighted.
Press enter to boot the selected OS,

# 按e鍵在啟動之前編輯命令，
'e' to edit the connands before booting,

# 按a鍵在啟動之前修改內(nèi)核參數(shù)，
'a' to nodify the kernel argunents before booting, 

# 按c鍵切換命令行（esc鍵返回）。
or 'c' for a connand-1 ine.

可以看到提示，按e鍵就能編輯grub配置文件中的啟動選項內(nèi)容。

按e鍵，結(jié)果如下圖：

提示再按e鍵可直接修改內(nèi)容。

而grub加密，就是在上面第二張圖的狀態(tài)時，需要先輸入我們設(shè)定的密碼，才能按e鍵編輯系統(tǒng)啟動參數(shù)。也就是說給grub設(shè)置一個密碼，避免像上邊那樣能夠直接進(jìn)入grub，并編輯其中的系統(tǒng)啟動參數(shù)。

2、grub加密步驟

1）執(zhí)行grub-md5-crypt命令成生md5密碼。

執(zhí)行命令：[root@localhost ~]# grub-md5-crypt

2）設(shè)置密碼。

輸入兩次密碼：

Pas sword：
Retype pas sword：

生成MD5加密的密碼字符串：$1$Y84LB1$8tMY2PibScmu0Cc8z8U351

這樣就把你輸入的密碼進(jìn)行了MD5加密，用這個加密字符串來加密grub配置文件。

3）修改grub的配置文件。

一定在timeout屬性之后，在splashimage屬性之前，添加password選項，一定是這個順序，放在其他位置不生效。

如下所示：

[root@localhost ~]# vim /boot/grub/grub.conf

# 內(nèi)容
default=0
timeout=5

# password選項放在整體設(shè)置處。
password --md5 $1$Y84LB1 $8tMY2PibScmu0Cc8z8U35/

splashimage=(hd 0,0)/grub/splash.xpm.gz

4）重啟系統(tǒng)。

重啟系統(tǒng)后，我們發(fā)現(xiàn)進(jìn)入到grub界面中，下面的提示，原來的e鍵變成了p鍵。

我們再按e鍵都是沒有反應(yīng)的，按p鍵就會讓你輸入密碼，不輸入密碼你就不能編輯grub的配置文件。

如下圖所示：

輸入后按Enter鍵，才進(jìn)入到可編輯的grub界面中，e鍵提示又出來了。如下圖：

注意：

當(dāng)你在第四步中第一個圖的時候，就算你不知道密碼，直接按Enter鍵，系統(tǒng)是可以直接啟動的。所以說grub加密是對grub配置文件的編譯進(jìn)行了加密，而不是對系統(tǒng)的啟動進(jìn)行加密。

上面的加密步驟，是對grub菜單整體加密，整體加密后，如果想進(jìn)入grub編輯界面必須輸入正確的密碼。同時也是不影響系統(tǒng)的正常啟動的。

還有對單個啟動菜單進(jìn)行加密，但grub的編輯模式是不能鎖定的，還是可以按e鍵進(jìn)入編輯模式。而且進(jìn)入編輯模式后，是可以刪除password字段的，不是很好，所以不講解了。

3、grub加密的lock屬性

如果我想啟動CentOS系統(tǒng)時，既需要grub的整體加密，又需要系統(tǒng)啟動時輸入正確的grub加密密碼，才能正常啟動系統(tǒng)。那應(yīng)該怎么做呢？

很簡單，方法如下：在grub的/boot/grub/grub.conf配置文件中，在title字段中加入lock，代表鎖死，如果不輸入正確的grub密碼，系統(tǒng)是不能啟動的。

如下圖所示：

注意：

lock這個屬性千萬不要添加，如果添加了lock屬性在grub的配置文件中，當(dāng)你在不輸入密碼的時候，直接按Enter鍵，是不能直接進(jìn)入系統(tǒng)的，會報錯，如下圖：

提示了錯誤32，按任意鍵繼續(xù)，就又回來了。

為什么一定不要添加lock的原因：

在系統(tǒng)啟動的時候，進(jìn)入到grub啟動引導(dǎo)，此時系統(tǒng)還沒有啟動完成，網(wǎng)卡是還沒加載生效，所以遠(yuǎn)程終端是連接不上服務(wù)器的，這時候就只能拿鍵盤做本地輸入。但現(xiàn)在我們的服務(wù)器一般都放在機(jī)房或者遠(yuǎn)端，你會十分的不方便。所以堅決不能用lock鎖定grub的配置文件。

到此這篇關(guān)于linux中g(shù)rub啟動引導(dǎo)程序的加密介紹的文章就介紹到這了,更多相關(guān)linux grub啟動引導(dǎo)加密內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: