GRUB 也能加密？还能局部加密！

博主： Zimri
发布时间：2024 年 11 月 07 日
58 次浏览
暂无评论
1167字数
分类：运维笔记

现行数据安全变得愈发重要。作为Linux/Unix计算机启动过程中的关键组件，GRUB（Grand Unified Bootloader）不仅负责加载操作系统，还应具备一定的安全防护能力。本文将详细介绍如何对GRUB进行局部加密，以提升系统启动阶段的安全性。

局部加密的意义

相比于全菜单(类似全盘)加密，GRUB局部加密具有以下优势：

启动速度快：仅对GRUB高级菜单加密，正常的系统引导不受影响。
兼容性好：局部加密对现有系统的影响较小。

但最根源的目的主要为了避免黑客利用VNC漏洞控制服务器进入高级模式无密码登录(安全模式) 进行提权后植入后门。

实现步骤

1. 使用`grub-mkpasswd-pbkdf2` 工具生成密文

grub-mkpasswd-pbkdf2

根据提示输入密码得到密文

2. 编辑引导密码选项

nano /etc/grub.d/40_custom

在尾部加入填充好密文的配置

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.70C61019A05655ABA6A89D2403614DE2F186522ED2EAE53B72384C0D0459C811D19723970FFE6EF5D9E30F51AC32A7E9CBF31CEDE2427D4AB1877CB2F627345E7AC89D06E98EE608E1465C55F113ECFC8F317BA2304EBE5C653D582CB1D2083DBF3D127BB78DC60F4C0495AE475FB85C544BFF80FE1E

配置解释：
set superusers="root" 设置超级用户名为root
第二行为生成的密文

3. 改为局部加密

这时候是全局GRUB加密，一定不能执行引导更新，而是继续编辑。

nano /etc/grub.d/10_linux

加入

--unrestricted

4.最后更新引导

update-grub

最后修改：2024 年 11 月 07 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用Cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

dbeyanzmno
真棒！
vettxyoczg
博主太厉害了！
qwxbenaebb
博主真是太厉害了！！！
ucexvtjjhm
博主真是太厉害了！！！
你看
开启telnet页面提示页面超时，请重新登录，登录上再进就提示404

GRUB 也能加密？还能局部加密！

Zimri • 2024 年 11 月 07 日

<p>现行数据安全变得愈发重要。作为Linux/Unix计算机启动过程中的关键组件，GRUB（Grand Unified Bootloader）不仅负责加载操作系统，还应具备一定的安全防护能力。本文将详细介绍如何对GRUB进行局部加密，以提升系统启动阶段的安全性。</p><hr><h3>局部加密的意义</h3><p>相比于全菜单(类似全盘)加密，GRUB局部加密具有以下优势：</p><ul><li><strong>启动速度快</strong>：仅对GRUB高级菜单加密，正常的系统引导不受影响。</li><li><strong>兼容性好</strong>：局部加密对现有系统的影响较小。</li></ul><p>但最根源的目的主要为了避免黑客利用VNC漏洞控制服务器进入高级模式 无密码登录(安全模式) 进行提权后植入后门。</p><h3>实现步骤</h3><h4>1. 使用<code>grub-mkpasswd-pbkdf2</code> 工具生成密文</h4><pre><code class="lang-sh">grub-mkpasswd-pbkdf2</code></pre><p>根据提示输入密码得到密文</p><h4>2. 编辑引导密码选项</h4><pre><code class="lang-bash">nano /etc/grub.d/40_custom</code></pre><p>在尾部加入填充好密文的配置</p><pre><code class="lang-bash">set superusers=&quot;root&quot;
password_pbkdf2 root grub.pbkdf2.sha512.10000.70C61019A05655ABA6A89D2403614DE2F186522ED2EAE53B72384C0D0459C811D19723970FFE6EF5D9E30F51AC32A7E9CBF31CEDE2427D4AB1877CB2F627345E7AC89D06E98EE608E1465C55F113ECFC8F317BA2304EBE5C653D582CB1D2083DBF3D127BB78DC60F4C0495AE475FB85C544BFF80FE1E</code></pre><blockquote><p>配置解释：</p><p>set superusers="root" 设置超级用户名为root</p><p>第二行为生成的密文</p></blockquote><h4>3. 改为局部加密</h4><p>这时候是全局GRUB加密，一定不能执行引导更新，而是继续编辑。</p><pre><code>nano /etc/grub.d/10_linux</code></pre><p>加入</p><pre><code>--unrestricted</code></pre><p><img src="https://assets.insilen.com/pic/2024/11/2411070003094caf3821e9fb4ddb832bdb3d27309714.png?imageSlim" alt="" title="" style=""></p><h4>4.最后更新引导</h4><pre><code>update-grub</code></pre>