Poner o cambiar contraseña al Grub2

Vamos a ver como se puede poner una contraseña al Grub2, sino tiene contraseña cualquiera puede editar el menú del gestor de arranque y puede cambiar los parámetros adicionales del arranque al kernel y así poder cambiar el nivel de arranque o aun peor, cambiar la contraseña de root.

Protección con contraseña 

Para proteger el grub2 se debe asignar un usuario que sea superusuario (puede ser el root u otro cualquiera) y una contraseña, (para mayor seguridad que  este cifrada, para hacer esto lo haremos con el comando del grub grub-mkpasswd-pbkdf2

root@wheezy-workstation:~# grub-mkpasswd-pbkdf2
Enter password:
Reenter password:

Your PBKDF2 is grub.pbkdf2.sha512.10000.717960070319D229A18981E6AC09189EF480656FE81AA5CC2E8DB34F9298BA3BE79686BFF2E5675446C28D03120E4001902A97F7F11DA4BA26B437CDBE844806.5DEC0FA898DCACEB05C8BA5CF1D4E88C2BEA5834934F5BFBA58255C5F02BE1EE4F8402A885DD76F8674FE23EBF8D37B72873FA28797E41EFE5EF61412D003E75  Una vez generado el la contraseña la tenemos que poner el fichero de configuración del grub2, para que si se actualiza el grub que conserve dicha contraseña,  para ello crearemos un nuevo fichero llamado /etc/grub/01_passwd con las siguientes lineas:

#/bin/bash
cat <<EOF
set superusers="root" 
password_pbkdf2 root grub.pbkdf2.sha512.10000.717960070319D229A18981E6AC09189E
F480656FE81AA5CC2E8DB34F9298BA3BE79686BFF2E5675446C28
D03120E4001902A97F7F11DA4BA26B437CDBE844806.5DEC0FA89
8DCACEB05C8BA5CF1D4E88C2BEA5834934F5BFBA58255C5F02B
E1EE4F8402A885DD76F8674FE23EBF8D37B72873FA28797E41EFE
5EF61412D003E75
EOF

Le damos permiso de ejecución chmod +x /etc/grub/01_passwd 
 

En este caso, el super usuario es root, (pero podría ser otro cualquiera), y la contraseña es el es que se generó anteriormente. Después de editar este archivo se deben aplicar los cambios usando la siguiente orden:

update-grub2


Ahora tu gestor de arranque con Grub 2 está protegido con contraseña!