Bootloader GRUB menyimpan kata sandi dalam file teks biasa, jadi semua bentuk kata sandi terenkripsi diperlukan. Untuk membuat kata sandi terenkripsi, kami dapat menggunakan grub-crypt memerintah. Sampai sekarang kami telah menggunakan perintah grub-md5-crypt . Tapi sekarang MD5 secara luas dianggap rusak. grub-crypt menggunakan SHA-256 atau SHA-512 hash, yang dianggap lebih aman. Sintaks/penggunaan umum dari perintah grub-crypt adalah seperti yang ditunjukkan di bawah ini :
# grub-crypt --help Usage: grub-crypt [OPTION]... Encrypt a password. -h, --help Print this message and exit -v, --version Print the version information and exit --md5 Use MD5 to encrypt the password --sha-256 Use SHA-256 to encrypt the password --sha-512 Use SHA-512 to encrypt the password (default) Report bugs to [[email protected]]. EOF
Menggunakan hash SHA-265 atau SHA-512
1. Sebagai pengguna root, gunakan perintah grub-crypt untuk menghasilkan hash kata sandi. Ketik kata sandi dan ketik ulang kata sandi untuk konfirmasi.
grub-crypt Password: Retype password: $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0
2. Salin kata sandi terenkripsi yang dikembalikan di baris terakhir output yang akan terlihat seperti string acak panjang. Tempelkan sebelum pernyataan TITLE di /boot/grub/grub.conf file, seperti ini:
# vi /boot/grub/grub.conf .... default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --encrypted $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0 title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) ....Catatan :Pastikan hak akses file /boot/grub/grub.conf diatur ke read-only untuk tidak mengizinkan siapa pun untuk mengubahnya.
# ls -lrt /boot/grub/grub.conf -rw-------. 1 root root 845 Oct 11 14:43 /boot/grub/grub.conf
3. Setelah ini selesai, boot berikutnya akan memerlukan kata sandi sebelum GRUB mengizinkan Anda untuk mengedit opsi boot.
Menggunakan sandi teks biasa
Meskipun tidak aman, tetapi jika Anda masih ingin menetapkan kata sandi GRUB teks biasa yang dapat dibaca pengguna, gunakan prosedur di bawah ini :
1. Edit /boot/grub/grub.conf di editor teks dan tambahkan baris "sandi PASSWORD-GOES-HERE" baru sebelum judul bait pertama, mis.:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password my-not-so-hidden-password title Red Hat Enterprise Linux ...
2. Pastikan izin pada grub.conf tidak mengizinkan siapa pun kecuali root untuk membacanya :
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Feb 02 14:12 /boot/grub/grub.conf
Menggunakan hash MD5
Seperti yang dikatakan sebelumnya dalam posting, MD5 secara luas dianggap rusak. Tetapi jika Anda tetap ingin menggunakannya, ikuti prosedur di bawah ini :
1. Jalankan grub-md5-crypt untuk menghasilkan kata sandi hash :
# grub-md5-crypt Password: Retype password: $1$vweqo$CLFlozZ6ELHjGmL.0.37..
Tambahkan baris “password –md5 HASH-GOES-HERE” baru sebelum baris judul pertama, mis.:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --md5 $1$vweqo$CLFlozZ6ELHjGmL.0.37.. title Red Hat Enterprise Linux ...
Sebagai langkah praktik terbaik terakhir, pastikan izin pada grub.conf tidak mengizinkan siapa pun kecuali root untuk membacanya :
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Jan 29 18:27 /boot/grub/grub.conf
Nyalakan ulang sistem dan coba tekan p untuk memasukkan kata sandi untuk membuka kunci dan mengaktifkan fitur berikutnya dalam daftar grub.