设置GRUB密码以防止单用户模式下root密码被恶意更改

在使用LInux系统的时候可能会发生忘记root密码的状况，一般管理员会进入单用户模式下进行重置root密码。那么问题来了，既然管理员能够进入单用户模式，若是恶意用户能够接触的到计算机的话毫无疑问也是能够进入单用户模式而后偷偷篡改你的root密码，如此一来岂不是很不安全了。后来人们以为经过单用户更改root密码这件事上不能随随便便的让不相关的人操做，因而加了一个二次认证受权过程，也就是在进入单用户模式的过程当中间加上一层GRUB密码认证。（如下操做环境为RHEL6）

1、 配置添加grup密码，观察/etc/grup.conf文件

其中，在splashimage下面的一行添加为全局密码，在title下面的一行添加为菜单密码，有两种设置密码的形式分别为明文和MD5密文。显而易见明文密码是能够被恶意用户查看grub.conf配置文件查看到的，因此推荐使用MD5加密密码，两种不一样密码的设置格式以下

• 明文设定

• MD5密文设定

md5密文设定须要在/etc/grup.conf文件中填入密码前生成一个MD5密码，具体的生成须要借助grub-md5-crypt命令来完成，这里生成两次是由于一次md5密码交给全局密码使用，另外一次是交给菜单密码使用。

 

拿到了md5密码后把它们添加到/etc/grub.conf文件中，格式与填写明文密码略有不一样，须要加一个--md5选项，这里须要注意的是copy密码的时候不要漏掉字符以及必定要加--md5选项。

接下来reboot重启，咱们进入单用户模式下看看grub密码是否生效了。

2、进入单用户模式尝试经过GRUB认证以修改root密码

从新启动系统，根据提示按P进入输入全局密码页面

发现下图中多了不少选项，根据提示按“e”进入编辑

选中下图的kernel一行，继续按“e”编辑

在最后一行的最后添加single而后回车，返回上层页面

而后继续按“b”进入单用户命令行模式

此时已经出现要求输入菜单密码的界面

继续输入菜单密码，才能够进入命令行模式。

至此，通过两次GRUB密码的认证才正式进入到了单用户模式，才能够进行root密码的修改。

注意，当设置了菜单密码的时候每次启动系统都须要输入一次菜单密码，请根据具体状况判断是否须要同时设置两个密码。