系统安装完成后，如何设置Grub的密码？


作者：北南南北 日期：2003-10-19 13:34:44


作者：北南南北
来自：LinuxSir.Org

提要：本文主要讲述的是，在安装完系统后，如何设置Grub的开启系统的密码，总共有两个办法，一个是直接加密，也就是说能在/etc/grub.conf中直接看到密码，经jerboa兄指点，才认识到此办法还是不够安全；另一种方法就是通过MD5进行加密和校验，这种办法值得推荐，安全方面能够得到保证，但也不是绝对的安全。因为如果有Linux的安装光盘以及系统引导盘，这个加密还是一句空话，所以绝对的安全是没有的！！

主要内容：

方法一：不通过MD5校验，直接在/etc/grub.conf中设置密码


Grub的密码是系统安全措失的一部份，如果没有Grub的密码，任何人都不能登入到 Linux 系统中，前提是没有 Linux 安装盘的情况下:)，如果有安装盘，也是一样进入系统，并更改Grub的密码，所以安全不可能是绝对的。

Grub的密码保护功能，主要是对开机时，Grub密码起作用的时候，进入系统之前，需要输入密码。如果没有输入密码之前，是不能进入系统，另外最重要的是，任何用户都没有权限更改Grub登入界面的启动功能。

其实主要是加入两行，一行是password，另一行是lock,这比较简单，看一下如下的操作过程就OK了。


比如我没有设置密码之前/etc/grub是如下的样子：

default=1
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
title Fedora Core (2.4.22-1.2061.nptl)
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1

加入以后就是下面这样的：

default=1
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
password=123456
title Fedora Core (2.4.22-1.2061.nptl)
lock
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1

从上面的可以看出，Grub的密码是123456，lock的意思就是把Redhat Fedora锁住了。如果启动时会提示错误。这时就应该按P键，然后输入密码就行了。我设置的是123456，当然应该输入123456了，输入别的密码肯定不能通过，这样是不是做到保密了呢？？

方法二：用md5加密校码Grub密码

操作注意事项：请和我一样菜的弟兄，不要把下面的/etc/grub.conf中关于password那行照搬照抄。要自己用grub-md5-crypt来产生新密码！！



1]对Grub的密码进行加密码运算，比如我们想设置grub的密码是123456，所以我们先要用md5进行对123456这个密码进行加密

[root@linux01 beinan]# /sbin/grub-md5-crypt
Password: 在这里输入123456
Retype password: 再输入一次123456
$1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0 这就是通过grub-md5-crypt进行加密码后产生的值。这个值我们要记下来，还是有点用。
[root@linux01 beinan]#

2]更改 /etc/grub.conf

比如我原来的/etc/grub.conf文件的内容是下面的。

default=1
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
title Fedora Core (2.4.22-1.2061.nptl)
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1

所以我要在/etc/grub.conf中加入 password --md5 $1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0 这行，以及lock，应该加到哪呢，请看我的更改。
timeout=10
splashimage=(hd0,7)/boot/grub/splash.xpm.gz
password --md5 $1$7uDL20$eSB.XRPG2A2Fv8AeH34nZ0
title Fedora Core (2.4.22-1.2061.nptl)
lock
root (hd0,7)
kernel /boot/vmlinuz-2.4.22-1.2061.nptl ro root=LABEL=/
initrd /boot/initrd-2.4.22-1.2061.nptl.img
title WindowsXP
rootnoverify (hd0,0)
chainloader +1

我们仔细看一下，从上面的我们改过的/etc/grub.conf中是不是已经用到了我们在第一步通过/grub-md5-crypt所产生的密码呢？？是不是有点安全感了？？

我加个小技巧在做grub-md5-crypt 时这样做：
grub-md5-crypt > grubpasswd
然后输入密码
123456 <回车>
123456 <回车>
整个密码输入过程是看不见的，什么提示也没有，但完成后你会在当前工作目录下看一个grubpasswd，那就是你要的东西，如果一切正常你的密码密文，就在这个文件里，剩的你拿笔记屏幕上又长又臭的密文。

这个俺也晓得.

你不说人家咋知道。

[quote="hew"]
grub-md5-crypt > grubpasswd
[/quote5]
呵呵，简单的输入输出重定向

最好是把密码改成"打死我也不说"这几个字的拼音，哈哈，人家向你要密码的时候...... :)

用>> /etc/grub.conf