Вот так выглядит чистый конфиг Grub версии 0.97:
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
title Unnamed Linux
root (hd0,0)
kernel /vmzlinux-2.6.32 root=/dev/sda3 ro quiet
initrd /initrd.img-2.6.32
Чтобы выполнить шифрование, необходимо выполнить следующую последовательность комманд:
$ grub
grub> md5crypt
Password: temp1234
temp1234
Encrypted: $1$uXWYL0$X9JZPtilMULZ/pRTehq2e0
или
[user@localhost ~]$ grub-md5-crypt
Password:
Retype password:
$1$d1pYL0$qQem5eQBxrutDyflaIttK.
Запоминаем то, что получили, а именно: \$1\$uXWYL0\$X9JZPtilMULZ/pRTehq2e0, теперь идем в /boot/grub и ищем файл grub.conf, добавляем туда следующую строку в которую как раз и дописываем полученное содержимое md5crypt:
password --md5 $1$uXWYL0$X9JZPtilMULZ/pRTehq2e0
А вот расположение куда нужно ее вставлять:
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
password --md5 $1$uXWYL0$X9JZPtilMULZ/pRTehq2e0
title Unnamed Linux
root (hd0,0)
kernel /vmzlinux-2.6.32 root=/dev/sda3 ro quiet
initrd /initrd.img-2.6.32
В итоге загрузку системы мы сможем выполнить, а вот подкорректировать уже не выйдет. Придется нажать p и ввести пароль.
Вот еще один вариант:
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
password --md5 $1$uXWYL0$X9JZPtilMULZ/pRTehq2e0
title Unnamed Linux
lock
root (hd0,0)
kernel /vmzlinux-2.6.32 root=/dev/sda3 ro quiet
initrd /initrd.img-2.6.32
Как вы заметили тут добавлена одна строка lock, она блокирует вообще весь граб. То есть ни загрузится, ни подправить загрузчик уже не получится. Пока не будет нажата клавиша p и не введен пароль.
Для дополнительно секьюрности можно поставить пароль еще и на вход:
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
title Unnamed Linux
password --md5 $1$uXWYL0$X9JZPtilMULZ/pRTehq2e0
root (hd0,0)
kernel /vmzlinux-2.6.32 root=/dev/sda3 ro quiet
initrd /initrd.img-2.6.32
Тобишь при попадании в этот пункт меню, граб потребует пароль для загрузки.