实战-加密grub防止黑客通过单用户系统破解root密码

基于Centos8进行grub加密

加密grub

实战场景:给grub加密,不让别人通过grub进入单用户。

使用grub2-mkpasswd-pbkdf2创建密文

[root@localhost ~]# grub2-mkpasswd-pbkdf2
Enter password:        //输入密码
Reenter password:       //在次输入密码
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.483B380EE0A275AC053682CD0E96518F18A77C99F1CB5ABFD25A3AA4BCEB5E736FAD0709A8F31892C77887FCBBDCE1B3A489CB2BA9E4ABF8DB902B7FEA3CA5A2.DEADCA72080610E48E764BDCE29D1B7C26D2AA08F3DA1BFD9200599F923DC6F789B7F7347412248989270E43C807B55DA7CB7205C3D80547620D8C3AF7E2356F

上面左后一串的就是使用哈希加密的密文，该密文需要保留下来

将密文写入配置文件

[root@localhost ~]# cat /etc/grub.d/00_header
cat <<EOF
set superusers='root'        //root可以换成自己想要设置的用户名
password_pbkdf2 root grub.pbkdf2.sha512.10000.483B380EE0A275AC053682CD0E96518F18A77C99F1CB5ABFD25A3AA4BCEB5E736FAD0709A8F31892C77887FCBBDCE1B3A489CB2BA9E4ABF8DB902B7FEA3CA5A2.DEADCA72080610E48E764BDCE29D1B7C26D2AA08F3DA1BFD9200599F923DC6F789B7F7347412248989270E43C807B55DA7CB7205C3D80547620D8C3AF7E2356F
EOF
第三行的password_pbkdf2后面的root是与第二行所设置的一致；第三行最后面的是使用哈希算法加密的密文

使用grub2-mkconfig更新grub信息

首先查看一下参数信息

[root@localhost ~]# grub2-mkconfig --help
Usage: grub2-mkconfig [OPTION]
Generate a grub config file

  -o, --output=FILE       output generated config to FILE [default=stdout]
  --no-grubenv-update     do not update variables in the grubenv file
  -h, --help              print this message and exit
  -v, --version           print the version information and exit

Report bugs to <bug-grub@gnu.org>.

这里需要使用-o选项，将更新的信息输送到/etc/grub2.cfg文件中

提示：/etc/grub2.cfg是个软连接文件，其链接的文件是/boot/grub2/grub.cfg

[root@localhost ~]# ll /etc/grub2.cfg
lrwxrwxrwx. 1 root root 22 Apr 14 22:53 /etc/grub2.cfg -> ../boot/grub2/grub.cfg

更新grub信息（使用上面两个文件的任何一个即可）

[root@localhost ~]# grub2-mkconfig -o /etc/grub2.cfg
Generating grub configuration file ...
done

更新grub信息，重启验证