GRUB ブートローダーはパスワードをプレーンテキスト ファイルに保存するため、暗号化された形式のパスワードが必要です。暗号化されたパスワードを生成するには、grub-crypt を使用できます 指図。これまでは grub-md5-crypt コマンドを使用してきました .しかし現在、MD5 は壊れていると広く考えられています。 grub-crypt は SHA-256 を使用します または SHA-512 より安全であると考えられているハッシュ。 grub-crypt コマンドの一般的な構文/使用法は以下のとおりです:
# grub-crypt --help Usage: grub-crypt [OPTION]... Encrypt a password. -h, --help Print this message and exit -v, --version Print the version information and exit --md5 Use MD5 to encrypt the password --sha-256 Use SHA-256 to encrypt the password --sha-512 Use SHA-512 to encrypt the password (default) Report bugs to [[email protected]]. EOF
SHA-265 または SHA-512 ハッシュの使用
1. root ユーザーとして、grub-crypt コマンドを使用してパスワード ハッシュを生成します。パスワードを入力し、確認のためにパスワードを再入力してください。
grub-crypt Password: Retype password: $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0
2. 出力の最後の行で返された暗号化されたパスワードをコピーします。これは長いスクランブル文字列のように見えます。 /boot/grub/grub.conf の TITLE ステートメントの前に貼り付けます 次のようなファイル:
# vi /boot/grub/grub.conf .... default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --encrypted $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0 title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) ....注 :/boot/grub/grub.conf ファイルのアクセス許可が読み取り専用に設定されていることを確認して、変更を許可しないようにしてください。
# ls -lrt /boot/grub/grub.conf -rw-------. 1 root root 845 Oct 11 14:43 /boot/grub/grub.conf
3. これが完了すると、GRUB が起動オプションの編集を許可する前に、以降の起動でパスワードが必要になります。
平文パスワードの使用
安全ではありませんが、ユーザーが読み取り可能な平文の GRUB パスワードを設定したい場合は、以下の手順を使用してください:
1. /boot/grub/grub.conf を編集します テキスト エディタで、最初のタイトル スタンザの前に新しい「password PASSWORD-GOES-HERE」行を追加します。例:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password my-not-so-hidden-password title Red Hat Enterprise Linux ...
2. grub.conf のパーミッションが、root 以外のユーザーに読み取りを許可していないことを確認してください:
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Feb 02 14:12 /boot/grub/grub.conf
MD5 ハッシュの使用
投稿の前半で述べたように、MD5 は壊れていると広く考えられています。それでも使用したい場合は、以下の手順に従ってください:
1. grub-md5-crypt を実行します ハッシュ化されたパスワードを生成するには:
# grub-md5-crypt Password: Retype password: $1$vweqo$CLFlozZ6ELHjGmL.0.37..
最初のタイトル行の前に新しい「password –md5 HASH-GOES-HERE」行を追加します。例:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --md5 $1$vweqo$CLFlozZ6ELHjGmL.0.37.. title Red Hat Enterprise Linux ...
ベスト プラクティスの最終ステップとして、grub.conf のアクセス許可が root 以外のユーザーに読み取りを許可していないことを確認してください:
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Jan 29 18:27 /boot/grub/grub.conf
システムを再起動し、p を押してパスワードを入力し、ロックを解除して grub リストの次の機能を有効にしてみてください。