近期有些网友想要了解CentOS7 GRUB2加密防止单用户模式改密码：把“后门”彻底焊死的相关情况，小编通过整理给您分析，根据自身经验分享CentOS7 GRUB2加密防止单用户模式改密码：把“后门”彻底焊死有关知识。

CentOS7 GRUB2加密防止单用户模式改密码：把“后门”彻底焊死

机房凌晨两点，空调嗡鸣，你正窝在值班室刷手机，突然监控群里炸锅：“业务系统被锁了！”冲过去一看，服务器已经被人重启，单用户模式里一条passwd root指令，root密码瞬间被改，数据盘被挂载复制，整套环境成了“公共菜园”。别问为啥物理机没上锁——快递小哥刚把机柜钥匙落在前台。想堵住这种“摸电门”式入侵？给GRUB2上把锁，比加摄像头管用。

单用户模式为啥成了“万能钥匙”

CentOS7默认把GRUB2菜单敞开，任何人只要在启动界面按个“e”，把ro crashkernel=auto改成rw init=/bin/bash，就能绕过PAM、绕过审计，直接拿root shell。物理机、云主机、甚至某些“云控制台”的重装救援模式，都这条路数。密码复杂度再高，也扛不住这种“本地降维打击”。

加密思路：让GRUB2先验“暗号”

GRUB2支持两种锁：

• 明文锁：改个菜单就能看，防君子不防小人；



• PBKDF2哈希锁：把密码拆成50万次哈希，逆向成本直接上天。

下面这套流程，全程离线操作，不依赖外网，哪怕机器在深山老林里的基站，也能一次搞定。

实操：一条命令生成“锁芯”

1. 

   先给root留个“逃生通道”，防止手抖把自己锁外面：

   cp /etc/grub.d/40_custom /boot/grub2/custom_backup

2. 用grub2-mkpasswd-pbkdf2生成哈希，密码别用键盘顺序，用一句你老婆都记不住的唠叨：

   grub2-mkpasswd-pbkdf2

   输入两次口令，得到一串长得像

   grub.pbkdf2.sha512.10000.C4E08...

   的东西，整段复制，丢进备忘录。

3. 写锁文件，注意：别粘错空格，否则重启直接报错：

   cat > /etc/grub.d/01_password  /etc/grub.d/01_password > 追加，别手敲
   UEFI机器改完无效路径写错确认/boot/efi/EFI/centos/grub.cfg已更新
   一句话总结
   物理机只要别人能摸到键盘，没上GRUB2锁就等于没穿裤子。花五分钟把哈希锁敲进去，比事后跑路、写报告、挨客户骂强一万倍。下次再有人想按“e”改密码，让他先和50万次PBKDF2打一架。