26.6. 암호로 GRUB 2 보호
GRUB 2는 두 가지 유형의 암호 보호를 제공합니다.
- 메뉴 항목을 수정하는 데는 암호가 필요하지만 기존 메뉴 항목을 부팅하는 데는 필요하지 않습니다.
- 메뉴 항목을 수정하고 하나, 여러 개 또는 모든 메뉴 항목을 부팅하는 데 암호가 필요합니다.
수정 항목만 사용하도록 GRUB 2 구성
GRUB 2 항목을 수정하기 위해 비밀번호 인증이 필요한 경우 다음 단계를 따르십시오.
grub2-setpassword
명령을 root로 실행합니다.~]# grub2-setpassword
암호를 입력하고 확인합니다.
Enter password: Confirm password:
다음 절차에서는 암호의 해시가 포함된 /boot/grub2/user.cfg
파일을 생성합니다. 이 암호의 사용자는 /boot/grub2/grub.cfg
파일에 정의되어 있습니다. 이 변경으로 부팅 중에 부팅 항목을 수정하려면
root
사용자 이름과 암호를 지정해야 합니다.
수정 및 부팅을 위한 암호 요청Require a Password for Modifying and Booting Entries
grub2-setpassword
를 사용하여 암호를 설정하면 메뉴 항목이 무단으로 수정되지 않지만 무단 부팅되지는 않습니다. 또한 항목을 부팅하는 데 암호가 필요한 경우 grub2-setpassword
로 암호를 설정한 후 다음 단계를 수행하십시오.
GRUB 2 암호를 잊어버린 경우 다음 프로세스에서 재구성한 항목을 부팅할 수 없습니다.
-
/boot/grub2/grub.cfg
파일을 엽니다. -
메뉴
입력으로 시작하는 행을 검색하여 암호로 보호하려는 부팅 항목을 찾습니다. 메뉴 항목 블록에서
--unrestricted
매개변수를 삭제합니다. 예를 들면 다음과 같습니다.[file contents truncated] menuentry 'Red Hat Enterprise Linux Server (3.10.0-327.18.2.rt56.223.el7_2.x86_64) 7.2 (Maipo)' --class red --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-3.10.0-327.el7.x86_64-advanced-c109825c-de2f-4340-a0ef-4f47d19fe4bf' { load_video set gfxpayload=keep [file contents truncated]
- 파일을 저장하고 닫습니다.
이제 항목을 부팅해도 root
사용자 이름과 암호를 입력해야 합니다.
새 커널 버전이 설치되면 /boot/grub2/grub.cfg
를 수동으로 변경하지만 grub2-mkconfig
명령을 사용하여 grub.cfg
를 다시 생성할 때 손실됩니다. 따라서 암호 보호를 유지하려면 grub2-mkconfig
를 사용한 후 위의 절차를 사용하십시오.
/boot/grub2/grub.cfg
파일의 모든 메뉴 항목에서 --unrestricted
매개변수를 삭제하면 새로 설치된 모든 커널에는 --unrestricted
없이 메뉴 항목이 생성되어 암호 보호가 자동으로 상속됩니다.
Red Hat Enterprise Linux 7.2로 업데이트 전에 암호 설정
grub2-setpassword
도구가 Red Hat Enterprise Linux 7.2에 추가되었으며 이제 GRUB 2 암호를 설정하는 표준 방법입니다. 이는 /etc/grub.d/40_custom
파일에 부팅 항목을 수동으로 지정해야 하는 이전 버전의 Red Hat Enterprise Linux와 달리 /etc/grub.d/01_users
파일에서 슈퍼 사용자입니다.
추가 GRUB 2 사용자
제한
없는 매개 변수 없이 항목을 부팅하려면 root 암호가 필요합니다. 그러나 GRUB 2를 사용하면 암호를 제공하지 않고도 이러한 항목을 부팅할 수 있는 루트가 아닌 사용자를 추가로 생성할 수 있습니다. 항목을 수정하려면 root 암호가 필요합니다. 이러한 사용자를 만드는 방법에 대한 자세한 내용은 GRUB 2 설명서 를 참조하십시오.