为银河麒麟操作系统设置开机密码,是提升物理安全性的关键一步。这并非针对远程网络攻击,而是有效防范能够直接接触设备的未授权人员,防止其通过修改启动项或进入单用户模式等方式绕过系统登录验证。本文将介绍三种逐级提升安全等级的方法,涵盖从引导程序到硬件芯片的防护,您可以根据设备条件与安全需求进行选择。

一、设置GRUB启动密码(推荐方案)
最核心有效的方法是为系统引导器GRUB设置访问密码。启用后,任何人在开机时都将无法通过按下“e”键来编辑内核启动参数或执行其他操作。此密码独立于系统用户密码,需要通过生成加密哈希并写入配置文件来完成设置。
具体配置流程分为以下几个步骤:
首先,请使用root权限登录系统并打开终端。第一步,执行命令grub-mkpasswd-pbkdf2以生成加密密码。根据提示输入并确认您设定的密码后,终端将输出一长串以“grub.pbkdf2.sha512.10000...”开头的密文,请妥善记录此加密字符串。
接下来,为安全起见,建议先备份GRUB的自定义配置文件:cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak。
然后,使用文本编辑器(如nano)打开该文件进行编辑:sudo nano /etc/grub.d/40_custom。在文件末尾添加如下两行配置:
set superusers="root"
password_pbkdf2 root 此处替换为上述生成的完整加密字符串
请注意,必须将“此处替换为上述生成的完整加密字符串”准确替换为您之前记录下的整个密文字符串,确保无误。
保存并退出编辑器后,执行最后一步命令使配置生效:sudo update-grub。重启计算机进行测试,此时在GRUB菜单界面尝试按下“e”或“c”键,系统将提示输入用户名(root)和您所设置的GRUB密码。
二、启用BIOS/UEFI固件密码
如果说GRUB密码是守护系统引导过程的内门锁,那么BIOS或UEFI固件密码则是保护计算机硬件启动权限的外院大门。这层防护在操作系统加载之前就已激活,属于硬件级安全措施,因此即使拥有Linux系统的最高权限也无法绕过。
此方法具有普适性,不依赖于特定操作系统。操作步骤如下:
重启计算机,在开机初期自检画面出现时,留意屏幕底部的提示信息,快速连续按下Del、F2、F10或Esc等键(具体按键因主板制造商而异),以进入BIOS或UEFI设置界面。
在该界面(通常为蓝底或灰底)中,使用键盘导航至“Security”(安全)或“Boot Security”(启动安全)相关选项卡。
在其中查找类似“Set Supervisor Password”(设置管理员密码)或“UEFI Firmware Password”(UEFI固件密码)的选项。设置一个高强度的密码,建议不少于8位字符,并混合使用大小写字母、数字及特殊符号。
最后,务必选择“Save & Exit”(保存并退出,通常按F10键)以使设置永久生效。此后每次开机,都必须先正确输入此固件密码,计算机才会继续执行后续的GRUB加载或系统启动流程。
三、配置TPM可信平台模块绑定启动
对于配备TPM 2.0安全芯片的新款计算机,您可以实现更高级别的安全防护——将系统启动过程与该硬件安全芯片进行绑定。这是银河麒麟V10 SP1及以上版本通过其kysec安全框架提供的增强功能。一旦核心启动文件被非法篡改,TPM芯片能够检测到异常并中止启动过程,或要求输入额外的预置解锁密码。
该方法配置稍复杂,但提供了最高级别的启动完整性保护。首先,请使用命令dmesg | grep -i tpm验证系统是否已正确识别TPM芯片。
若系统未预装必要工具,请先执行安装:sudo apt install kysec-tools。
核心配置从以下步骤开始:首先,使用sudo kysec-tss init初始化TPM芯片的所有权(过程中需设置所有者口令)。接着,将当前GRUB配置文件的哈希值(即数字指纹)写入TPM芯片的特定平台配置寄存器(PCR):sudo kysec-tss pcr-extend -p 7 -f /boot/grub/grub.cfg。
然后,需要配置GRUB在启动时执行校验。编辑/etc/default/grub文件,在GRUB_CMDLINE_LINUX参数行末尾添加如下内容:
kysec.pcr_check=7 kysec.unlock_pass=您自定义的TPM解锁密码
其中的“您自定义的TPM解锁密码”是您为此功能单独设定的另一组密码。
完成上述配置后,照例执行sudo update-grub并重启系统。此后,系统启动时TPM芯片会自动校验GRUB配置的完整性。若校验通过则正常启动;若检测到文件被修改或需要手动授权,则会提示输入TPM解锁密码。这相当于为整个启动链条增加了一把基于硬件的可信钥匙。
