GRUB 安全设置

jjlee

口令   可针对启动菜单设置全局口令
      对某菜单项使用全局口令
      对某菜单项设置独立口令
      对所有的口令都可以使用MD5加密

1 设置全局口令锁定启动菜单

全局口令用于设置只允许用户选择启动菜单项进行启动,如进行其它操作需输入设置的全局口令
password命令用于为GRUB的启动菜单和菜单项设置口令
在grub.conf的全局配置部分使用password

例如在第一个title上输入 password 12345
设置了全局口令后,GRUB启动菜单被锁定,只允许选择菜单项进行启动,如需对菜单进行其它操作,如编辑,进入命令行界面等都应先对启动菜单进行解锁.
在锁定的启动菜单选"P"
输入口令解锁恢复正常的状态

2 使用全局口令锁定启动菜单项
GRUB提供了菜单项级别的保护,对于需要保护的菜单项,可以使用已设置的全局口令进行锁定,如果启动该菜单项需先输入全局口令对该菜单项进行解锁

步骤: a 设置GRUB全局口令
      b 在菜单项配置中使用lock命令锁定菜单项

lock作用:设定某启动菜单项使用全局口令进行锁定,该命令没有参数,一般紧跟title.锁定该菜单项中lock之后的所有命令,直到输入正确的口令.

例如: password  12345
     title RedHat Linux...
     lock
     ...

当需要对不同启动菜单项使用不同的口令进行验证管理时,可以在各菜单项中使用独立的password设置.

例如: password 12345
     title RedHat Linux...
     password 67890
     .....

这样就可以实现全局口令和菜单项口令的分级管理.

[注意] 如为某菜单项设置独立口令最好先设置全局口令,并确保口令字各不相同,如不设置全局口令会造成菜单项口令的泄漏.

3 使用MD5加密口令

为了避免在配置文件中使用明文口令,可采用MD5加密口令.

步骤:
   * 获得加密口令 方法有二:
          a    #/sbin/grub-md5-crypt
          b    在GRUB交互命令行界面中使用md5crypt命令

    * 保存加密口令到配置文件

#grub-md5-crypt

#grub
grub> md5crypt










本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/51931/showart_422490.html