站在你的电脑旁边，手持一个棒球棒。狠狠地打击任何靠近的人。
或者将其锁起来。
如果你的电脑可以被物理接触到，那是不安全的。

一个快速简单的方法是在您的BIOS中禁用从CD和USB设备启动，并设置BIOS密码。

根据这个维基页面：

在Grub配置文件中放置密码或锁定菜单项并不能阻止用户使用在grub命令行输入的命令手动引导。

然而，没有什么能阻止别人偷走您的硬盘并将其安装到另一台机器上，或者通过移除电池来重置您的BIOS，或者其他攻击者在物理接触到您的机器时可以使用的方法之一。

更好的方式是加密您的驱动器，您可以通过加密您的主目录或加密整个磁盘来实现：

• 如何加密我的主分区？
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

首先，警告...

Grub2 密码保护过程可能相当棘手，如果操作错误，有可能导致系统无法启动。因此，请务必 始终 先对硬盘进行完整的镜像备份。我的建议是使用 Clonezilla - 也可以使用其他备份工具如 PartImage。

如果您想练习这个过程，可以使用一个虚拟机来回滚快照。

让我们开始吧

下面的步骤可以防止在引导时未经授权编辑 Grub 设置，即按下 e 进行编辑以更改引导选项。例如，您可以强制引导到单用户模式，从而访问您的硬盘。

这个步骤应该与硬盘加密和安全的 BIOS 引导选项一起使用，以防止从光盘引导，详见相关问题的答案。

以下几乎所有内容都可以逐行复制粘贴。

首先，让我们备份我们将要编辑的grub文件 - 打开一个终端会话：

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

让我们为 grub 创建一个用户名：

gksudo gedit /etc/grub.d/00_header &

滚动到底部，添加一个新的空行，然后复制并粘贴以下内容：

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

在这个例子中，创建了两个用户名：myusername和recovery。
接下来 - 返回终端（不要关闭gedit）： 仅适用于Natty和Oneiric用户 通过输入命令生成一个加密密码。

grub-mkpasswd-pbkdf2

在提示时输入您将使用两次的密码

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

我们感兴趣的部分从grub.pbkdf2...开始，到BBE2646结束。
使用鼠标高亮此部分，右键点击并复制。
切换回您的gedit应用程序 - 高亮显示文本“xxxx”，然后用您复制的内容替换它（右键点击并粘贴）。
即，该行应该如下所示：

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

所有的 'buntu 版本（包括 Lucid 及以上版本）
保存并关闭文件。
最后，您需要为每个 grub 菜单项（所有以 menuentry 开头的文件）设置密码保护。

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

这将在每一行中添加一个新的条目--users myusername。
运行update-grub来重新生成你的grub。

sudo update-grub

当您尝试编辑grub条目时，它会要求您的用户名，即myusername和您使用的密码。
重新启动并测试在编辑所有grub条目时是否强制执行用户名和密码。
注意：记得在启动过程中按下SHIFT键以显示您的grub菜单。 保护恢复模式的密码 以上所有问题都可以通过使用恢复模式轻松解决。
幸运的是，您还可以强制使用恢复模式菜单项的用户名和密码。在本答案的第一部分中，我们创建了一个名为recovery的额外用户名，并设置密码为1234。要使用此用户名，我们需要编辑以下文件：

gksudo gedit /etc/grub.d/10_linux

将这行改为：

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

To:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

使用恢复模式时，请使用用户名recovery和密码1234

运行sudo update-grub来重新生成您的grub文件

重新启动并测试，在尝试进入恢复模式时是否要求输入用户名和密码。

---

更多信息 - http://ubuntuforums.org/showthread.php?t=1369019

重要的是要记住，如果有人可以物理接触您的计算机，他们将始终能够对您的PC进行操作。像锁定PC机箱和BIOS密码这样的措施也无法阻止决心强烈的人从任意取走您的硬盘和数据。

简而言之，您需要：

• 最重要的是：使用luks进行全盘加密。这可以保护硬件存储的提取和启动到外部CD-ROM/USB攻击。仅对家目录进行加密是不够的。
• 设置BIOS密码。这很重要，因为/boot仍然未加密，并且在TPM中存储密码时更为重要。
• 可选：设置GRUB密码。

你可以做到即使重置，"重置者"也无法看到数据。
要做到这一点，只需加密/home。
如果你想让重置变得不可能，需要删除负责更改密码的某些内容。