有什么方法可以禁止在启动时更改 init 参数吗?我想防止有人重新启动我的服务器、编辑 grub 条目并无需密码即可访问的情况。也许我可以在内核编译时更改一些内核参数?
答案1
如果有人可以物理访问您的计算机,他们可以从 USB 闪存盘启动,或者取出硬盘并将其插入另一台计算机。为了防止有人更改启动参数,请将计算机放在上锁的箱子或上锁的房间中。
如果计算机处于锁定状态,但不受信任的人可以访问其键盘,那么您需要一种软件方法来防止使用备用参数启动。这是引导装载程序,而不是内核的工作(内核不是在启动时提示您输入参数的软件:那时它甚至没有加载到内存中)。请务必禁止从 BIOS 中任何暴露的外部端口(例如 USB、网络)启动,并设置访问 BIOS 配置界面的密码。
如果您的引导加载程序是 Grub,请激活它锁定功能:superusers向您的 中添加设置grub.cfg,并password_pbkdf2设置允许访问命令行的密码。请务必将该--unrestricted选项也添加到您的正常菜单条目中。有关详细信息和示例,请参阅手册。