在之前的博文中曾介绍过Linux中的单用户模式，单用户模式类似于Windows中的WinPE，可以绕过系统的诸多限制来对系统进行配置，比如修改root用户密码等。单用户模式的使用参见博文http://yttitan.blog.51cto.com/70821/1130029。

单用户模式的风险也是显而易见的，如果任何人都可以随意进入单用户模式，而Linux服务器又无法保证物理安全的话，那么还是存在很大的安全隐患。因而在生产环境中经常需要为GRUB引导菜单设置密码，通过GRUB密码阻止非授权用户进入单用户模式，从而增强系统安全性。

另外，如果直接对GRUB进行明文加密也是非常不安全的，所以就要使用MD5算法对密码进行加密，相关命令是grub-md5-crypt。

例：利用grub-md5-crypt命令生成经MD5加密后的密码。

下面来修改GRUB的配置文件/etc/grub.conf，这里要用到password参数。

将刚才生成的MD5密文复制下来，再按照“password –md5 MD5密文”的格式在grub.conf文件中设置密码。密码可以放在grub.conf文件中的任意位置，但放在不同的位置就会在不同的时刻生效，比如将密码放在default参数所在行的上方，就会在BIOS自检之后、GRUB引导之前就要求输入密码，也就是每次系统启动或重启时都会要求输入密码。在生产环境中一般都是将密码放置在title参数所在行的上方，这样只有当用户要进入GRUB引导菜单时才会要求输入密码。

例：为GRUB设置引导菜单密码。

修改完grub.conf文件之后，将系统重启，再次进入GRUB引导菜单时会出现下图所示的提示，要求用户按“p”键输入密码。

输入正确密码之后，就可以进入GRUB引导菜单了。

本文出自 “一壶浊酒” 博客，转载请与作者联系！

网络安全系列之五十四 为GRUB引导菜单设置密码