麒麟操作系统设置开机密码方法 银河麒麟用户安全管理

银河麒麟系统开机密码配置有三种方法：一是设置GRUB启动密码，通过grub-mkpasswd-pbkdf2生成加密串并写入40_custom文件；二是启用BIOS/UEFI固件密码，在开机自检时进入设置界面配置；三是利用TPM 2.0芯片绑定启动，通过kysec工具实现硬件级校验与密码联动。

如果您希望在银河麒麟操作系统启动过程中增加一层安全防护，防止未经授权的物理访问者直接进入系统，则需要配置开机密码。该密码不同于用户登录密码，而是作用于引导加载阶段（GRUB），可有效阻止未授权修改启动参数或进入单用户模式等高危操作。以下是实现此目标的多种方法：

一、设置GRUB启动密码（推荐）

GRUB密码用于保护引导菜单编辑权限，防止他人通过e键修改内核参数绕过登录验证。该密码独立于系统账户密码，需手动配置加密哈希值。

1、以root身份登录图形界面或终端，执行命令生成加密密码：
grub-mkpasswd-pbkdf2

2、按提示输入并确认新密码，系统将输出类似“grub.pbkdf2.sha512.10000...”开头的加密字符串。

3、备份原始GRUB配置文件：
cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak

4、使用文本编辑器打开40_custom文件：
sudo nano /etc/grub.d/40_custom

5、在文件末尾添加以下内容（将your_encrypted_password替换为上一步生成的完整字符串）：
set superusers="root"
password_pbkdf2 root your_encrypted_password

6、更新GRUB配置：
sudo update-grub

7、重启系统，启动时在GRUB菜单界面按c键或e键将提示输入用户名root及对应密码。

二、启用BIOS/UEFI固件密码

该方法在硬件层拦截启动流程，适用于所有操作系统，包括银河麒麟。它不依赖于Linux系统本身，因此无法被操作系统内任何命令绕过。

1、重启计算机，在开机自检（POST）阶段根据屏幕提示反复按Del、F2、F10或Esc键进入BIOS/UEFI设置界面。

2、导航至Security或Boot Security相关选项卡。

3、查找“Set Supervisor Password”、“Administrator Password”或“UEFI Firmware Password”选项。

4、输入并确认一个强密码，该密码长度建议不少于8位，且包含大小写字母与数字组合。

5、保存设置并退出（通常为F10键），系统将自动重启。

6、下次开机时，必须先输入该固件密码才能进入GRUB或启动操作系统。

三、配置TPM可信平台模块绑定启动

针对搭载TPM 2.0芯片的设备，可通过银河麒麟V10 SP1及以上版本的kysec安全框架，将GRUB启动过程与TPM状态绑定，实现硬件级启动完整性校验和密码联动机制。

1、确认系统已启用TPM并加载tpm_tis驱动：
dmesg | grep -i tpm

2、安装kysec工具包（若未预装）：
sudo apt install kysec-tools

3、初始化TPM所有权并创建启动密钥：
sudo kysec-tss init --owner-passphrase your_tpm_owner_pass

4、将当前GRUB配置哈希值写入TPM PCR寄存器：
sudo kysec-tss pcr-extend -p 7 -f /boot/grub/grub.cfg

5、配置GRUB启动时校验PCR值，若检测到篡改则中断启动并要求输入TPM解锁密码。

6、编辑/etc/default/grub，添加参数：
GRUB_CMDLINE_LINUX="kysec.pcr_check=7 kysec.unlock_pass=your_tpm_unlock_pass"

7、执行sudo update-grub并重启生效。