麒麟系统如何设置GRUB加密

必须为GRUB设置加密验证以防止物理接触者通过e键修改内核参数或注入init=/bin/bash获取root权限；操作包括用grub-mkpasswd-pbkdf2生成强哈希密码，写入40_custom配置superusers和password_pbkdf2，再执行update-grub并重启生效。

防止物理接触者在启动时按 e 键修改内核参数、注入 init=/bin/bash 获取 root 权限，必须为 GRUB 启动菜单设置加密验证。该操作直接作用于引导阶段，与用户登录密码完全无关，未配置时单用户模式形同虚设。

生成强加密密码哈希

打开终端，以 root 身份执行：
grub-mkpasswd-pbkdf2

系统会提示你输入并确认新密码。这一步必须使用高强度密码——至少12位，含大小写字母、数字和特殊符号，否则后续可能被暴力破解。
命令输出类似 【grub.pbkdf2.sha512.10000.67C4A93B8F12D8E3...】 的完整字符串，务必完整复制，漏掉任意字符都将导致密码失效。

若提示命令未找到，改用 grub2-mkpasswd-pbkdf2，二者功能一致。

写入 GRUB 超级用户认证配置

方法一：编辑 40_custom 文件（推荐）
先备份原始配置：
cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak

用 sudo nano 或 sudo vim 打开该文件：
sudo nano /etc/grub.d/40_custom

在文件末尾另起两行，严格按如下格式粘贴（注意空格不可省略，用户名固定为 root）：
set superusers="root"
password_pbkdf2 root your_encrypted_password

⚠️ 注意：your_encrypted_password 必须替换成上一步生成的完整哈希串，不能删减、不能加引号、不能换行。

更新并启用 GRUB 配置

第一步：重新生成主配置文件
sudo update-grub

第二步：立即重启验证效果
reboot

重启后，在 GRUB 菜单出现前，系统不会弹出密码框；但当你在 GRUB 界面按 e 或 c 键时，会强制要求输入用户名 root 和对应密码。输错三次后界面将短暂冻结，这是正常防护行为。