在 Linux 服务器的运维管理中,引导加载程序扮演着至关重要的角色,它是连接硬件与操作系统的第一座桥梁,对于广泛使用的 CentOS 7 其默认采用的引导加载程序是 GRUB2 (GRand Unified Boot Loader version 2),深入理解并掌握 GRUB2 的配置与管理,不仅是系统管理员的基本功,更是保障系统稳定、安全及高效运行的关键,本文将系统性地介绍 CentOS 7 中 GRUB2 的工作原理、核心文件、日常配置、故障修复以及安全加固等方面的知识。
GRUB2 的核心组件与工作流程
与早期的 GRUB Legacy 相比,GRUB2 在架构和功能上都有了显著的提升,它更模块化、配置更灵活,并且支持更现代的硬件,如 GPT 磁盘分区表和 UEFI 固件,要有效地管理 GRUB2,首先需要理解其核心配置文件和目录的分工合作。
GRUB2 的配置并非直接编辑一个单一的、复杂的配置文件,而是通过模块化的方式管理,其主要涉及以下几个关键位置,它们共同决定了最终的引导菜单。
| 文件/目录路径 | 功能描述 |
|---|---|
/boot/grub2/grub.cfg | 主配置文件,这是 GRUB2 在启动时实际读取的文件,包含了所有的菜单项、内核路径、参数等信息。此文件由系统自动生成,强烈不建议手动编辑,因为任何直接的修改都可能在系统更新或执行 grub2-mkconfig 命令后被覆盖。 |
/etc/default/grub | 默认设置文件,这是系统管理员主要进行手动修改的文件,它定义了引导菜单的通用行为,例如默认启动项、等待时间、背景图片、内核命令行参数等。 |
/etc/grub.d/ | 配置脚本目录,该目录下存放了一系列的 Shell 脚本(如 00_header, 10_linux, 30_os-prober 等),当执行 grub2-mkconfig 命令时,系统会按字母顺序执行这些脚本,将其输出内容合并,最终生成 /boot/grub2/grub.cfg 文件。 |
GRUB2 的工作流程可以概括为:管理员修改 /etc/default/grub 或 /etc/grub.d/ 中的脚本 -> 执行 grub2-mkconfig 命令 -> 读取所有配置源并生成新的 /boot/grub2/grub.cfg -> 系统重启时 GRUB2 读取 grub.cfg 展示引导菜单。
常用 GRUB2 配置与管理
掌握了核心文件结构后,我们可以进行一系列实用的配置操作,以满足不同的运维需求。
修改默认引导项和等待时间
在多系统或多内核环境中,修改默认启动项是常见操作,使用 grep -n "^menuentry" /boot/grub2/grub.cfg 命令查看所有可用的引导菜单项,每个 menuentry 前面的序号(从0开始)就是它的标识,第一个内核的序号是 0。
编辑 /etc/default/grub 文件:
GRUB_DEFAULT=0:将0替换为你希望设为默认的引导项序号,你也可以直接使用menuentry后引号内的完整标题,这样即使内核更新导致序号变化,默认项也能保持正确。GRUB_TIMEOUT=5:此变量定义了引导菜单的显示时间(单位:秒),如果设置为0,则将直接启动默认项,不显示菜单。
向内核传递启动参数
有时我们需要在系统启动时向内核传递特定参数,例如紧急模式 systemd.unit=rescue.target、禁用特定功能 ipv6.disable=1 或进行性能调优。
同样,编辑 /etc/default/grub 文件,找到 GRUB_CMDLINE_LINUX 这一行,它通常包含一长串默认参数,如 crashkernel=auto rhgb quiet,你只需在引号内追加你需要的参数,用空格隔开即可,要禁用 IPv6,可以修改为:GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet ipv6.disable=1"
应用配置更改
完成上述所有对 /etc/default/grub 的修改后,最关键的一步是让这些更改生效,执行以下命令重新生成主配置文件:sudo grub2-mkconfig -o /boot/grub2/grub.cfg
执行成功后,系统会列出所有找到的菜单项,你的配置就已经被写入 grub.cfg,下次重启时即可生效。
GRUB2 引导修复实战
当系统因分区错误、误删文件、安装其他系统等原因导致无法正常引导时,通常会进入 grub> 提示符界面,此时不要慌张,可以按照以下步骤进行修复。
场景: 服务器重启后停留在 grub> 提示符,无法进入系统。
修复步骤:
- 进入救援模式: 使用 CentOS 7 安装光盘或 U 盘启动,在安装菜单中选择 “Troubleshooting” -> “Rescue a CentOS System”。
- 切换根目录: 系统会尝试挂载原系统,挂载成功后,执行
chroot /mnt/sysimage命令,将操作环境的根目录切换到原系统中,这样我们就可以像在正常系统中一样使用命令。 - 确认引导分区: 使用
df -h或lsblk确认你的/boot分区和系统磁盘设备名(/dev/sda)。 - 重新安装 GRUB2: 执行
grub2-install /dev/sda命令,此命令会将 GRUB2 的引导程序重新写入硬盘的主引导记录(MBR)或 GUID 分区表(GPT)的引导区。请注意,这里的设备是整个磁盘(如/dev/sda),而不是分区(如/dev/sda1)。 - 重建配置文件: 为确保
grub.cfg文件的完整性,再次执行grub2-mkconfig -o /boot/grub2/grub.cfg命令。 - 退出并重启: 依次输入
exit退出chroot环境,然后再次exit重启系统,移除安装介质后,系统应该能够正常引导。
增强 GRUB2 的安全性
默认情况下,任何能接触到服务器物理控制台的人都可以在 GRUB 菜单中编辑内核启动参数,例如通过 init=/bin/bash 进入一个 root shell,这构成了严重的安全风险,为 GRUB2 设置超级用户密码是防止此类攻击的有效手段。
- 生成密码哈希: 执行
grub2-mkpasswd-pbkdf2命令,系统会提示你输入密码并确认,输入后会生成一长串加密的哈希值(以grub.pbkdf2.sha512...开头),请完整复制此字符串。 - 修改配置脚本: 编辑
/etc/grub.d/40_custom文件,在文件末尾添加以下内容:set superusers="your_username" # 设置一个或多个超级用户,用空格隔开 password_pbkdf2 your_username <粘贴你的密码哈希>将
your_username替换为你想要的用户名,并将<粘贴你的密码哈希>替换为上一步生成的内容。 - 重建配置文件: 再次执行
sudo grub2-mkconfig -o /boot/grub2/grub.cfg。 - 重启验证: 重启后,尝试编辑或进入非默认的引导项时,GRUB 将会要求输入用户名和密码,这样,未授权用户便无法修改启动参数,极大地增强了系统的物理安全性。
相关问答 (FAQs)
解答: 这是一个非常常见的误区。/etc/default/grub 仅仅是 GRUB2 的“模板”或“源”配置文件,系统在启动时并不会直接读取它,你需要手动执行 grub2-mkconfig -o /boot/grub2/grub.cfg 命令,这个命令会读取 /etc/default/grub 和 /etc/grub.d/ 目录下的所有脚本,并将它们整合成最终的、真正被 GRUB2 读取的 /boot/grub2/grub.cfg 文件,忘记执行这一步,你的所有修改都只是停留在“源”文件,不会对实际引导过程产生任何影响。
问题2:我忘记了为 GRUB 设置的超级用户密码,无法进入系统进行高级操作,该如何恢复?
解答: 恢复 GRUB 密码需要借助一个可引导的 Live CD/USB 或系统安装盘,过程与引导修复类似:
- 使用安装介质启动系统,并进入救援模式,然后执行
chroot /mnt/sysimage。 - 编辑
/etc/grub.d/40_custom文件,删除或注释掉(在行首加 )你之前添加的set superusers和password_pbkdf2这两行。 - 保存文件后,执行
grub2-mkconfig -o /boot/grub2/grub.cfg来重新生成不带密码保护的配置文件。 - 退出
chroot环境并重启服务器,GRUB 密码已被临时移除,进入系统后,你可以按照设置密码的步骤重新设置一个新的密码。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复