2. 将 GRUB 2 配置为需要密码才能修改和引导条目

要在启动条目时还需要密码，请在使用 grub2-setpassword 设置密码后执行以下步骤：

1. 打开 /boot/grub2/grub.cfg 文件。

2. 通过搜索以 menuentry 开头的行，找到要使用密码保护的引导项。

3. 从菜单项块中删除-unrestricted 参数。

4. 保存并关闭文件。

1. 将 GRUB2 配置为仅在修改条目时需要密码

要在修改 GRUB 2 条目时要求密码验证，请执行以下步骤：

1. 以 root 身份运行 grub2-setpassword 命令：

# grub2-setpassword
Enter password:
Confirm password:

2. 输入并确认密码。
   这里的所有都是它的。
   密码哈希将以加密格式存储在 /boot/grub2/user.cfg 文件中。

3. 通过此更改，在引导期间修改引导条目需要我们指定凭据。

为什么 Linux 引导加载程序应该有密码保护？

以下是使用密码保护 Linux 引导加载程序的主要原因：

1. 阻止进入单用户模式——如果攻击者可以启动进入单用户模式，他就成为 root 用户。

2. 阻止访问 GRUB 控制台——如果机器使用 GRUB 作为其引导加载程序，攻击者可以使用 GRUB 编辑器界面更改其配置或者使用 cat 命令收集信息。

3. 防止访问非安全操作系统——如果是双启动系统，攻击者可以在启动时选择一个操作系统，例如 DOS，它忽略访问控制和文件权限。