银河麒麟系统开机密码设置与用户安全配置指南

为银河麒麟操作系统设置开机密码，是提升物理安全性的关键一步。这并非针对远程网络攻击，而是有效防范能够直接接触设备的未授权人员，防止其通过修改启动项或进入单用户模式等方式绕过系统登录验证。本文将介绍三种逐级提升安全等级的方法，涵盖从引导程序到硬件芯片的防护，您可以根据设备条件与安全需求进行选择。

一、设置GRUB启动密码（推荐方案）

最核心有效的方法是为系统引导器GRUB设置访问密码。启用后，任何人在开机时都将无法通过按下“e”键来编辑内核启动参数或执行其他操作。此密码独立于系统用户密码，需要通过生成加密哈希并写入配置文件来完成设置。

具体配置流程分为以下几个步骤：

首先，请使用root权限登录系统并打开终端。第一步，执行命令grub-mkpasswd-pbkdf2以生成加密密码。根据提示输入并确认您设定的密码后，终端将输出一长串以“grub.pbkdf2.sha512.10000...”开头的密文，请妥善记录此加密字符串。

接下来，为安全起见，建议先备份GRUB的自定义配置文件：cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak。

然后，使用文本编辑器（如nano）打开该文件进行编辑：sudo nano /etc/grub.d/40_custom。在文件末尾添加如下两行配置：

set superusers="root"
password_pbkdf2 root 此处替换为上述生成的完整加密字符串

请注意，必须将“此处替换为上述生成的完整加密字符串”准确替换为您之前记录下的整个密文字符串，确保无误。

保存并退出编辑器后，执行最后一步命令使配置生效：sudo update-grub。重启计算机进行测试，此时在GRUB菜单界面尝试按下“e”或“c”键，系统将提示输入用户名（root）和您所设置的GRUB密码。

二、启用BIOS/UEFI固件密码

如果说GRUB密码是守护系统引导过程的内门锁，那么BIOS或UEFI固件密码则是保护计算机硬件启动权限的外院大门。这层防护在操作系统加载之前就已激活，属于硬件级安全措施，因此即使拥有Linux系统的最高权限也无法绕过。

此方法具有普适性，不依赖于特定操作系统。操作步骤如下：

重启计算机，在开机初期自检画面出现时，留意屏幕底部的提示信息，快速连续按下Del、F2、F10或Esc等键（具体按键因主板制造商而异），以进入BIOS或UEFI设置界面。

在该界面（通常为蓝底或灰底）中，使用键盘导航至“Security”（安全）或“Boot Security”（启动安全）相关选项卡。

在其中查找类似“Set Supervisor Password”（设置管理员密码）或“UEFI Firmware Password”（UEFI固件密码）的选项。设置一个高强度的密码，建议不少于8位字符，并混合使用大小写字母、数字及特殊符号。

最后，务必选择“Save & Exit”（保存并退出，通常按F10键）以使设置永久生效。此后每次开机，都必须先正确输入此固件密码，计算机才会继续执行后续的GRUB加载或系统启动流程。

三、配置TPM可信平台模块绑定启动

对于配备TPM 2.0安全芯片的新款计算机，您可以实现更高级别的安全防护——将系统启动过程与该硬件安全芯片进行绑定。这是银河麒麟V10 SP1及以上版本通过其kysec安全框架提供的增强功能。一旦核心启动文件被非法篡改，TPM芯片能够检测到异常并中止启动过程，或要求输入额外的预置解锁密码。

该方法配置稍复杂，但提供了最高级别的启动完整性保护。首先，请使用命令dmesg | grep -i tpm验证系统是否已正确识别TPM芯片。

若系统未预装必要工具，请先执行安装：sudo apt install kysec-tools。

核心配置从以下步骤开始：首先，使用sudo kysec-tss init初始化TPM芯片的所有权（过程中需设置所有者口令）。接着，将当前GRUB配置文件的哈希值（即数字指纹）写入TPM芯片的特定平台配置寄存器（PCR）：sudo kysec-tss pcr-extend -p 7 -f /boot/grub/grub.cfg。

然后，需要配置GRUB在启动时执行校验。编辑/etc/default/grub文件，在GRUB_CMDLINE_LINUX参数行末尾添加如下内容：

kysec.pcr_check=7 kysec.unlock_pass=您自定义的TPM解锁密码

其中的“您自定义的TPM解锁密码”是您为此功能单独设定的另一组密码。

完成上述配置后，照例执行sudo update-grub并重启系统。此后，系统启动时TPM芯片会自动校验GRUB配置的完整性。若校验通过则正常启动；若检测到文件被修改或需要手动授权，则会提示输入TPM解锁密码。这相当于为整个启动链条增加了一把基于硬件的可信钥匙。