1、什么是grub加密

上篇文章說(shuō)了，系統(tǒng)在開(kāi)機(jī)的時(shí)候，有一個(gè)5秒的讀秒時(shí)間，方便你進(jìn)入到grub界面中。

如下圖所示：

此時(shí)我們按下Enter鍵，就可以進(jìn)入到grub界面中。

如下圖所示：

在選擇框的正下方可以看到有幾行提示：

# 使用 ↑ 和 ↓ 鍵高亮某個(gè)選項(xiàng)，并按回車鍵確認(rèn)來(lái)引導(dǎo)選定的操作系統(tǒng)。
Use the ↑ and ↓ keys to select which entry is highlighted.
Press enter to boot the selected OS,

# 按e鍵在啟動(dòng)之前編輯命令，
'e' to edit the connands before booting,

# 按a鍵在啟動(dòng)之前修改內(nèi)核參數(shù)，
'a' to nodify the kernel argunents before booting, 

# 按c鍵切換命令行（esc鍵返回）。
or 'c' for a connand-1 ine.

可以看到提示，按e鍵就能編輯grub配置文件中的啟動(dòng)選項(xiàng)內(nèi)容。

按e鍵，結(jié)果如下圖：

提示再按e鍵可直接修改內(nèi)容。

而grub加密，就是在上面第二張圖的狀態(tài)時(shí)，需要先輸入我們?cè)O(shè)定的密碼，才能按e鍵編輯系統(tǒng)啟動(dòng)參數(shù)。也就是說(shuō)給grub設(shè)置一個(gè)密碼， 避免像上邊那樣能夠直接進(jìn)入grub，并編輯其中的系統(tǒng)啟動(dòng)參數(shù)。

2、grub加密步驟

1）執(zhí)行grub-md5-crypt命令成生md5密碼。

執(zhí)行命令：[root@localhost ~]# grub-md5-crypt

2）設(shè)置密碼。

輸入兩次密碼：

Pas sword：
Retype pas sword：

生成MD5加密的密碼字符串：$1$Y84LB1$8tMY2PibScmu0Cc8z8U351

這樣就把你輸入的密碼進(jìn)行了MD5加密，用這個(gè)加密字符串來(lái)加密grub配置文件。

3）修改grub的配置文件。

一定在timeout屬性之后，在splashimage屬性之前，添加password選項(xiàng)，一定是這個(gè)順序，放在其他位置不生效。

如下所示：

[root@localhost ~]# vim /boot/grub/grub.conf

# 內(nèi)容
default=0
timeout=5

# password選項(xiàng)放在整體設(shè)置處。
password --md5 $1$Y84LB1 $8tMY2PibScmu0Cc8z8U35/

splashimage=(hd 0,0)/grub/splash.xpm.gz

4）重啟系統(tǒng)。

重啟系統(tǒng)后，我們發(fā)現(xiàn)進(jìn)入到grub界面中，下面的提示，原來(lái)的e鍵變成了p鍵。

我們?cè)侔?code>e鍵都是沒(méi)有反應(yīng)的，按p鍵就會(huì)讓你輸入密碼，不輸入密碼你就不能編輯grub的配置文件。

如下圖所示：

輸入后按Enter鍵，才進(jìn)入到可編輯的grub界面中，e鍵提示又出來(lái)了。如下圖：

注意：

當(dāng)你在第四步中第一個(gè)圖的時(shí)候，就算你不知道密碼，直接按Enter鍵，系統(tǒng)是可以直接啟動(dòng)的。所以說(shuō)grub加密是對(duì)grub配置文件的編譯進(jìn)行了加密，而不是對(duì)系統(tǒng)的啟動(dòng)進(jìn)行加密。

上面的加密步驟，是對(duì)grub菜單整體加密，整體加密后，如果想進(jìn)入grub編輯界面必須輸入正確的密碼。同時(shí)也是不影響系統(tǒng)的正常啟動(dòng)的。

還有對(duì)單個(gè)啟動(dòng)菜單進(jìn)行加密，但grub的編輯模式是不能鎖定的，還是可以按e鍵進(jìn)入編輯模式。而且進(jìn)入編輯模式后，是可以刪除password字段的，不是很好，所以不講解了。

3、grub加密的lock屬性

如果我想啟動(dòng)CentOS系統(tǒng)時(shí)，既需要grub的整體加密，又需要系統(tǒng)啟動(dòng)時(shí)輸入正確的grub加密密碼，才能正常啟動(dòng)系統(tǒng)。那應(yīng)該怎么做呢？

很簡(jiǎn)單，方法如下：在grub的/boot/grub/grub.conf配置文件中，在title字段中加入lock，代表鎖死，如果不輸入正確的grub密碼，系統(tǒng)是不能啟動(dòng)的。

如下圖所示：

注意：

lock這個(gè)屬性千萬(wàn)不要添加，如果添加了lock屬性在grub的配置文件中，當(dāng)你在不輸入密碼的時(shí)候，直接按Enter鍵，是不能直接進(jìn)入系統(tǒng)的，會(huì)報(bào)錯(cuò)，如下圖：

提示了錯(cuò)誤32，按任意鍵繼續(xù)，就又回來(lái)了。

為什么一定不要添加lock的原因：

在系統(tǒng)啟動(dòng)的時(shí)候，進(jìn)入到grub啟動(dòng)引導(dǎo)，此時(shí)系統(tǒng)還沒(méi)有啟動(dòng)完成，網(wǎng)卡是還沒(méi)加載生效，所以遠(yuǎn)程終端是連接不上服務(wù)器的，這時(shí)候就只能拿鍵盤做本地輸入。但現(xiàn)在我們的服務(wù)器一般都放在機(jī)房或者遠(yuǎn)端，你會(huì)十分的不方便。所以堅(jiān)決不能用lock鎖定grub的配置文件。