Linux系统GRUB的MD5加密方法

phoenix1017

1、用grub-md5-crypt成生GRUB的md5密码；
通过grub-md5-crypt对GRUB的密码进行加密码运算，比如我们想设置grub的密码是123456，所以我们先要用md5进行对123456这个密码进行加密
[root@linux01 beinan]# /sbin/grub-md5-crypt
Password: 在这里输入123456
Retype password: 再输入一次123456
$1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0
$1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0 就是通过grub-md5-crypt进行加密码后产生的值。这个值我们要记下来，还是有点用。
2、更改 /etc/grub.conf
比如我原来的/etc/grub.conf文件的内容是下面的。
default=1
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
title Fedora Core (2.4.22-1.2061.nptl)
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1
所以我要在/etc/grub.conf中加入 password ——md5 $1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0 这行，以及lock，应该加到哪呢，请看下面的更改实例；
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
password ——md5 $1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0
title Fedora Core (2.4.22-1.2061.nptl)
lock
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1
lock的意思就是把Redhat Fedora锁住了。如果启动时会提示错误。这时就应该按P键，然后输入密码就行了。
使用password,lock命令实现几种加密方法如下：
1) 单纯对GRUB界面加密，而不对被引导的系统加密 在timeout一行下面加一行： password ——md5 PASSWORD
2) 对GRUB界面加密，同时对被引导的系统加密 在timeout一行下面加一行： password ——md5 PASSWORD 在title一行下面加一行： lock
3) 同时存在多个被引导系统，针对特定的系统实例分别加密(未对GRUB操作界面加密) 在title一行下面加一行： lock 在lock一行下面紧贴着再加一行： password ——md5 PASSWORD 注：lock不能单独使用.
我们仔细看一下，从上面的我们改过的/etc/grub.conf中是不是已经用到了我们在第一步通过/grub-md5-crypt所产生的密码呢？？是不是有点安全感了？
关于LINUX的启动装载程序GRUB加密，算是一件很平常的工作。但是今天我在网上查这个东西，发现好多人都写的很简单，而且方法都比较过时。所以，在此我更新下GRUB加密。和大家分享下。
　　所谓GRUB就是对/boot/grub/grub.conf文件进行配置。
　　先说说GRUB加密的好处
　　1、可以让不知道密码的人不能启动系统。
　　2、可以防止他人修改启动参数。
　　######################################################################
　　GRUB加密分为两种。
　　1、全局加密
　　2、局部加密
　　全局加密：
　　功能：锁定启动界面，禁止了
　　e　 to edit the commands before booting
　　a　 to modify the kernel arguments before booting
　　c　 for a command-line

　　这个全局加密最主要的功能就是edit the commands　，因为这个超做会看到局部的密码。

　　然后我们看看全局加密码后的效果。他需要你按P，输入全局密码才可以编辑查看commands.这样就可以保护我们的局部密码了。不输入全局密码可以直接回车开始启动系统，如果你还有局部密码，就需要输入局部密码。

　　局部加密：相对与某个特定的超做系统来进行控制。
　　功能：用户必须输入密码才能进入系统。

　　。
　　下面我们来看看怎么实现这些功能的。
　　###################################################################
　　选说局部加密：
　　由于每个系统都是由title 来标志的，所以我们局部加密就是在这个标志后加入
　　相应的语句。
　　加密分两种
　　1、明文
　　2、MD5加密。
　　具体方法如下图

　　那个MD5加密是怎么生成的么？ 使用下面命令就可以了


　　把图中我标记就是你输入的密码，MD5的值，直接拷贝到/boot/grub.grub.conf中就可以了。然后就保存推出，从新启动就需要你输入密码才能进入系统。但是我们可以在启动画面用e键编辑进入command模式就可以查看密码。我们需要怎么杜绝这种事情发生呢？那就需要全局加密，不让其他人具有编辑的权限。
　　全局加密：
　　如上先生成一个MD5密码。然后进入/boot/grub/grub.conf
　　在第一个title标志前面加如我们的密码，如图，timeout5后面就是我们对全局的加密。

　　这样其他人需要全局密码才能查看局部密码。
　　GRUB加密基本就这样了，具体情况需要您自己灵活运用。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/82820/showart_2164440.html