一、调整 BIOS 引导设置
1、将第一优先引导设备(First Boot Device)设为当前系统所在磁盘。 2、禁止从其他设备(如光盘、U 盘、网络等)引导系统,对应的项设为“Disabled”。 3、将 BIOS 的安全级别改为“setup”,并设置好管理密码,以防止未授权的修改。
二、限制更改 GRUB 引导参数
为GRUB菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2”命令生成,表现为经过哈希算法加密的字符串,安全性更好。生成密码后在/etc/grub.d/00_header 配置文件中,添加对应的用户、密码等生成新的grub.cfg文件。
1、如下图可见在系统引导界面按“e键”即可进入GRUB菜单编辑,这样并不安全。
2、如图我们执行“cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak”命令先备份配置文件。
3、我们再执行“cp /etc/grub.d/00_header
/etc/grub.d/00_header.bak”命令再备份配置文件的头文件。
4、执行“grub2-mkpasswd-pbkdf2”命令再输入密码来通过哈西算法加密处密码。
5、执行“vim /etc/grub.d/00_header”进入头文件配置。按“G”在末尾编写“cat << EOF”以及“set superuserrs="root"”,然后将之前生成的密文复制粘贴在下面,在密文前加入“passwd_pbkdf2 root”保存退出即可。
6、我们再执行“grub2-mkconfig -o /boot/grub2/grub.cfg”重新构建GRUB菜单配置文件。
7、重启系统来验证一下,在开机引导界面按“e”进入GRUB菜单,然后会看到需要我们输入密码。这样一来就能够保证我们的系统开机时的安全了。
