最近忘记了密码，然后使用了这个单用户模式重置了密码，感觉细思极恐啊，无论多么复杂的密码，只要重启后进入这个模式都可以被攻破。所以有必要封堵这个漏洞。

# 修改启动文件

可以直接修改/boot/grub/grub.cfg，当然最好更改/etc/grub.d/00_head（安全），在末尾添加：

cat << EOF
set superusers="user1"
password user1 PasswordOfUser1
EOF

这样的话，grub升级后用grub-mkconfig生成的配置文件中就会自动包含开机密码，而不必每次都修改grub.cfg文件了。 注意：如果你设置了明文的密码，一定要保证/etc/grub.d/00_head文件和/boot/grub/grub.cfg文件除root以外的人员无rw权限。 版本1.98后，GRUB2可以设定加密的密码。先用grub-mkpasswd-pbkdf2生成加密的密码（一种基于pbkdfv2算法的加密工具）。然后，向/etc/grub.d/00_head末尾追加：

cat << EOF
set superusers="user1"
password_pbkdf2 user1 EncryptedPasswordOfUser1
EOF

# 使生效

使用update-grub命令是修改生效，重启机器，在grub引导菜单输入"e"，需要输入用户名和密码才能进入。 这个设置主要是为了防止别人通过重启的方式修改你的root密码。