安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（六）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（一）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（二）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（三）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（四）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（五）

30. 用密碼保護 GRUB

用密碼保護你的 boot 載入程式這樣你就可以在啟動時獲得額外的安全保障。同時你也可以在實物層面獲得保護。通過在引導時給 GRUB 加鎖防止任何無授權訪問來保護你的伺服器。

首先備份兩個檔案，這樣如果有任何錯誤出現，你可以有回滾的選擇。備份 ‘/etc/grub2/grub.cfg’ 為 ‘/etc/grub2/grub.cfg.old’。

# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.old

同樣，備份 ‘/etc/grub.d/10_linux’ 為 ‘/etc/grub.d/10_linux.old’。

# cp /etc/grub.d/10_linux /etc/grub.d/10_linux.old

開啟檔案 ‘/etc/grub.d/10_linux’ 並在檔案末尾新增下列行。

cat <<EOF
set superusers="tecmint"
Password tecmint avi@123
EOF

密碼保護 Grub

注意在上面的檔案中，用你自己的使用者名稱和密碼代替 “tecmint” 和 “avi@123”。

現在通過執行下面的命令生成新的 grub.cfg 檔案。

# grub2-mkconfig --output=/boot/grub2/grub.cfg

生成 Grub 檔案

建立 grub.cfg 檔案之後，重啟機器並敲擊 ‘e’ 進入編輯。你會發現它會要求你輸入 “有效驗證” 來編輯 boot 選單。

有密碼保護的 Boot 選單

輸入登入驗證之後，你就可以編輯 grub boot 選單。

Grub 選單檔案

你也可以用加密的密碼代替上一步的明文密碼。首先按照下面推薦的生成加密密碼。

# grub2-mkpasswd-pbkdf2

[兩次輸入密碼]

生成加密的 Grub 密碼

開啟 ‘/etc/grub.d/10_linux’ 檔案並在檔案末尾新增下列行。

cat <<EOF
set superusers=”tecmint”
Password_pbkdf2 tecmint
grub.pbkdf2.sha512...你的加密密碼...
EOF

加密 Grub 密碼

用你係統上生成的密碼代替原來的密碼，別忘了交叉檢查密碼。

同樣注意在這種情況下你也需要像上面那樣生成 grub.cfg。重啟並敲擊 ‘e’ 進入編輯，會提示你輸入使用者名稱和密碼。

我們已經介紹了大部分工業標準發行版 RHEL 7 和 CentOS 7 安裝後必要的操作。如果你發現我們缺少了一些點或者你有新的東西可以擴充這篇文章，你可以和我們一起分享，我們會通過擴充在這篇文章中包括你的分享。