1、什么是grub加密

上篇文章說了，系統在開機的時候，有一個5秒的讀秒時間，方便你進入到grub界面中。

如下圖所示：

此時我們按下Enter鍵，就可以進入到grub界面中。

如下圖所示：

在選擇框的正下方可以看到有幾行提示：

# 使用 ↑ 和 ↓ 鍵高亮某個選項，并按回車鍵確認來引導選定的操作系統。
Use the ↑ and ↓ keys to select which entry is highlighted.
Press enter to boot the selected OS,

# 按e鍵在啟動之前編輯命令，
'e' to edit the connands before booting,

# 按a鍵在啟動之前修改內核參數，
'a' to nodify the kernel argunents before booting, 

# 按c鍵切換命令行（esc鍵返回）。
or 'c' for a connand-1 ine.

可以看到提示，按e鍵就能編輯grub配置文件中的啟動選項內容。

按e鍵，結果如下圖：

提示再按e鍵可直接修改內容。

而grub加密，就是在上面第二張圖的狀態時，需要先輸入我們設定的密碼，才能按e鍵編輯系統啟動參數。也就是說給grub設置一個密碼， 避免像上邊那樣能夠直接進入grub，并編輯其中的系統啟動參數。

2、grub加密步驟

1）執行grub-md5-crypt命令成生md5密碼。

執行命令：[root@localhost ~]# grub-md5-crypt

2）設置密碼。

輸入兩次密碼：

Pas sword：
Retype pas sword：

生成MD5加密的密碼字符串：$1$Y84LB1$8tMY2PibScmu0Cc8z8U351

這樣就把你輸入的密碼進行了MD5加密，用這個加密字符串來加密grub配置文件。

3）修改grub的配置文件。

一定在timeout屬性之后，在splashimage屬性之前，添加password選項，一定是這個順序，放在其他位置不生效。

如下所示：

[root@localhost ~]# vim /boot/grub/grub.conf

# 內容
default=0
timeout=5

# password選項放在整體設置處。
password --md5 $1$Y84LB1 $8tMY2PibScmu0Cc8z8U35/

splashimage=(hd 0,0)/grub/splash.xpm.gz

4）重啟系統。

重啟系統后，我們發現進入到grub界面中，下面的提示，原來的e鍵變成了p鍵。

我們再按e鍵都是沒有反應的，按p鍵就會讓你輸入密碼，不輸入密碼你就不能編輯grub的配置文件。

如下圖所示：

輸入后按Enter鍵，才進入到可編輯的grub界面中，e鍵提示又出來了。如下圖：

注意：

當你在第四步中第一個圖的時候，就算你不知道密碼，直接按Enter鍵，系統是可以直接啟動的。所以說grub加密是對grub配置文件的編譯進行了加密，而不是對系統的啟動進行加密。

上面的加密步驟，是對grub菜單整體加密，整體加密后，如果想進入grub編輯界面必須輸入正確的密碼。同時也是不影響系統的正常啟動的。

還有對單個啟動菜單進行加密，但grub的編輯模式是不能鎖定的，還是可以按e鍵進入編輯模式。而且進入編輯模式后，是可以刪除password字段的，不是很好，所以不講解了。

3、grub加密的lock屬性

如果我想啟動CentOS系統時，既需要grub的整體加密，又需要系統啟動時輸入正確的grub加密密碼，才能正常啟動系統。那應該怎么做呢？

很簡單，方法如下：在grub的/boot/grub/grub.conf配置文件中，在title字段中加入lock，代表鎖死，如果不輸入正確的grub密碼，系統是不能啟動的。

如下圖所示：

注意：

lock這個屬性千萬不要添加，如果添加了lock屬性在grub的配置文件中，當你在不輸入密碼的時候，直接按Enter鍵，是不能直接進入系統的，會報錯，如下圖：

提示了錯誤32，按任意鍵繼續，就又回來了。

為什么一定不要添加lock的原因：

在系統啟動的時候，進入到grub啟動引導，此時系統還沒有啟動完成，網卡是還沒加載生效，所以遠程終端是連接不上服務器的，這時候就只能拿鍵盤做本地輸入。但現在我們的服務器一般都放在機房或者遠端，你會十分的不方便。所以堅決不能用lock鎖定grub的配置文件。