基于Centos8进行grub加密
加密grub
实战场景:给grub加密,不让别人通过grub进入单用户。
使用grub2-mkpasswd-pbkdf2创建密文
[root@localhost ~]# grub2-mkpasswd-pbkdf2
Enter password: //输入密码
Reenter password: //在次输入密码
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.483B380EE0A275AC053682CD0E96518F18A77C99F1CB5ABFD25A3AA4BCEB5E736FAD0709A8F31892C77887FCBBDCE1B3A489CB2BA9E4ABF8DB902B7FEA3CA5A2.DEADCA72080610E48E764BDCE29D1B7C26D2AA08F3DA1BFD9200599F923DC6F789B7F7347412248989270E43C807B55DA7CB7205C3D80547620D8C3AF7E2356F
上面左后一串的就是使用哈希加密的密文,该密文需要保留下来
将密文写入配置文件
[root@localhost ~]# cat /etc/grub.d/00_header
cat <<EOF
set superusers='root' //root可以换成自己想要设置的用户名
password_pbkdf2 root grub.pbkdf2.sha512.10000.483B380EE0A275AC053682CD0E96518F18A77C99F1CB5ABFD25A3AA4BCEB5E736FAD0709A8F31892C77887FCBBDCE1B3A489CB2BA9E4ABF8DB902B7FEA3CA5A2.DEADCA72080610E48E764BDCE29D1B7C26D2AA08F3DA1BFD9200599F923DC6F789B7F7347412248989270E43C807B55DA7CB7205C3D80547620D8C3AF7E2356F
EOF
第三行的password_pbkdf2后面的root是与第二行所设置的一致;第三行最后面的是使用哈希算法加密的密文
使用grub2-mkconfig更新grub信息
首先查看一下参数信息
[root@localhost ~]# grub2-mkconfig --help
Usage: grub2-mkconfig [OPTION]
Generate a grub config file
-o, --output=FILE output generated config to FILE [default=stdout]
--no-grubenv-update do not update variables in the grubenv file
-h, --help print this message and exit
-v, --version print the version information and exit
Report bugs to <bug-grub@gnu.org>.
这里需要使用-o选项,将更新的信息输送到/etc/grub2.cfg文件中
提示:/etc/grub2.cfg是个软连接文件,其链接的文件是/boot/grub2/grub.cfg
[root@localhost ~]# ll /etc/grub2.cfg
lrwxrwxrwx. 1 root root 22 Apr 14 22:53 /etc/grub2.cfg -> ../boot/grub2/grub.cfg
更新grub信息(使用上面两个文件的任何一个即可)
[root@localhost ~]# grub2-mkconfig -o /etc/grub2.cfg
Generating grub configuration file ...
done
更新grub信息,重启验证
