GRUB2 安全

优质
小牛编辑
134浏览
2023-12-01

在默认情况下,GRUB对于所有可以在物理上进入控制台的人都是可访问的。任何人都可以选择并编辑任意菜单项,并且可以直接访问GRUB SHELL。要启用认证支持,必须将环境变量"superusers"设置为一组用户名(可用空格/逗号/分号作为分隔符),这样,将仅允许"superusers"中的用户使用GRUB命令行、编辑菜单项、以及执行任意菜单项。而其他非"superusers"中的用户,只能执行那些没有设置 --users 选项的菜单,以及那些在 --users 选项中包含了该用户的菜单,但不能使用GRUB命令行、编辑菜单项。下面使用一个配置片段举例说明:

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.biglongstring
password user1 insecure

menuentry "所有人都可以执行此菜单" --unrestricted {
	...
}

menuentry "仅允许超级用户执行此菜单" --users "" {
	...
}

menuentry "允许 user1 和超级用户执行此菜单" --users user1 {
	...
}

有关GRUB2安全的更多详情,请参考GRUB2手册中的"Security"部分。