为什么可以在Linux上更改管理员用户的密码？

几天前，我的一个朋友想告诉我即使我不告诉我密码，他也可以使用我的Linux。

他进入GRUB，选择了恢复模式选项。我的第一个问题是他已经可以访问我的文件（只读）。他试图做密码，但失败了。然后他做了某种重新安装（我想这给了他写权限），然后他就可以更改我的密码。

为什么会这样呢？我个人认为这是一个安全问题。在我工作的地方，有几个使用linux的人，而且他们都没有设置BIOS密码或其他某种安全墙。

密码旨在防止外部（网络，Internet）访问，并且可以完成此操作。但是，物理访问是root访问。

除非您要加密整个分区，否则始终可以从光盘或闪存驱动器启动并访问所有文件。这样，您还可以修改存储用户密码的文件。

但是，您可以选择禁用所需的恢复模式。脚步：

1. /etc/default/grub在文本编辑器中打开（具有root特权）

2. 取消注释/添加以下行：

   GRUB_DISABLE_RECOVERY="true"
   

3. 保存更改并运行以下命令：

   sudo update-grub
   

如果有人可以实际触摸您的机器，他们就可以进入。

最简单的方法是，将Linux加载到USB驱动器上，然后从USB记忆棒启动。瞧，您可以查看本机文件系统并进行所需的任何更改。

始终可以更改root密码。总是会有人忘记它。您需要对服务器进行物理访问（或在虚拟化时进行控制台访问）才能进入GRUB恢复模式，因此，当您已经在那里时，您也可以将整个服务器/桌面都拿出来，然后取出HDD并对其进行取证。安全方面并不重要。

如果需要更高的安全性，则可以始终对光盘进行加密。这将使恢复变得更加困难。

对于grub 1，请执行以下操作：

1. 打开命令行并以root用户身份输入grub-md5-crypt

2. 系统要求您输入密码，确认密码后，您会看到一个哈希值，该值将复制到剪贴板

3. 打开您选择的编辑器，然后编辑/boot/grub/menu.lst并添加到第一行：

   password --md5 "Hashvalue"
   

4. 保护文件。哈希值是从命令grub-md5-sum获得的哈希值

对于grub2，有一个工具可让您更轻松地进行设置http://sourceforge.net/projects/grubpass/安装后，只需键入：

1. grubpass以root用户身份进入shell。该程序几乎可以自我解释。

但是，保护数据免受此类访问的最佳方法是使用全盘加密。