從 linux 安裝中保護 GRUB 密碼

我最近通過進入單使用者模式通過 GRUB 遇到了 Linux 密碼更改方法。經過一番探勘，我發現了一些關於如何使用 sha512 散列密碼保護它的文章。雖然這聽起來像是保護 GRUB 的好選擇，但我還讀到你可以使用 Linux 安裝簡單地更改它。

那麼，如何以無法通過使用 Linux 安裝修改或刪除的方式保護密碼呢？

那麼，如何以無法通過使用 Linux 安裝修改或刪除的方式保護密碼呢？

這是不可能的。如果有人可以物理訪問您的設備，他們可以做任何事情。你有兩個選擇：

1. 加密所有分區並從例如只有您可以訪問的 USB 記憶棒啟動。
2. 如果您有安全的 EFI，則使用新的 GRUB 版本

$$ boot $$啟用後，您可以加密所有分區，只保留未加密的 EFI 引導分區，根本沒有GRUB 密碼。 顯然，您必須設置密碼才能訪問 BIOS，否則攻擊者可能會禁用安全啟動或安裝他們自己的 MAC 密鑰並篡改啟動載入程序並嗅探您的密碼。

最後，如果有人可以物理訪問您的 PC，他們可能會篡改您的鍵盤並安裝硬體鍵盤記錄器 - 那麼您的所有保護措施都毫無價值。

保護您的設備免受物理攻擊是一個非常複雜的話題。也許你應該選擇最近發布的蘋果設備或安卓手機，它們做得很好。普通的 x86 PC/筆記型電腦對各種無法檢測到的物理攻擊敞開大門。

引用自：https://unix.stackexchange.com/questions/704340