Proteger GRUB con contraseña

Para hacer GRUB más seguro y evitar que alguien no autorizado pueda cambiar los parámetros de arranque o utilizar la línea de comandos, se puede especificar una contraseña que se solicitará en caso de querer editar las opciones del menú de GRUB en el arranque.

Para ello, primero debemos especificar una contraseña y almacenarla cifrada en un archivo. Este paso lo podemos realizar con el siguiente comando:

sudo grub2-setpassword 

y especificar dos veces la contraseña que queramos establecer.

El comando anterior generará el archivo /boot/grub2/user.cfg con el hash de la contraseña.

Ahora es necesario recrear el archivo de configuración de grub para que incluya la contraseña especificada:

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

Una vez hecho esto, al reiniciar el equipo, si se intentan modificar las opciones de arranque de GRUB pulsando e, se solicitará un usuario (será root en este caso) y una contraseña, que será la que se indicó al comando grub2-setpassword.

Referencias