引导加载程序GRUB

什么是引导加载程序？

最简单地讲，引导加载程序（boot loader） 会引导操作系统。当机器引导它的操作系统时，BIOS 会读取引导介质上最前面的 512 字节（即人们所知的 主引导记录（master boot record，MBR））。在单一的 MBR 中只能存储一个操作系统的引导记录，所以当需要多个操作系统时就会出现问题。所以需要更灵活的引导加载程序。

主引导记录本身要包含两类内容 —— 部分（或全部）引导加载程序以及分区表（其中包含有关于介质其余部分如何划分为分区的信息）。当 BIOS 引导时，它会寻找硬盘驱动器第一个扇区（MBR）中存储的数据；BIOS 使用存储在 MBR 中的数据激活引导加载程序。

由于 BIOS 只能访问很少量的数据，所以大部分引导加载程序分两个阶段进行引导。在引导的第一个阶段中，BIOS 引导一部分引导加载程序，即 初始程序加载程序（initial program loader，IPL）。IPL 查询分区表，从而能够加载位于不同介质上任意位置的数据。首先通过这步操作来定位第二阶段引导加载程序（其中包含加载程序的其余部分）。

第二阶段引导加载程序是引导加载程序的主体；很多人认为这才是引导加载程序的真正部分。它包含有加载程序更需要磁盘空间的部分，比如用户界面和内核引导程序。从简单的命令行到绘声绘色的 GUI，这些用户界面的范围很广泛。

引导加载程序通常配置为两种方式的其中之一：要么是作为主引导加载程序（primary boot loader），要么是作为二级引导加载程序（secondary boot loader）。主引导程序 是安装在 MBR 上的第一阶段引导加载程序（见先前的描述）。 二级引导加载程序 是安装在可引导分区的第一阶段引导加载程序。必须在 MBR 上安装单独的引导加载程序，并配置它将控制权转交给二级引导加载程序。

很多较新的 Linux 引导加载程序特别实用，因为它们提供了不同程度的交互，比如高级的 GUI 和加密的口令，以及通过选择操作系统进行引导的能力。这样，可以在具有多个物理磁盘的同一机器上共存多个操作系统。这种设置越来越常见，因为它帮助很多用户在安装新的 Linux 时，能够保留先前由 Windows? 机器所生成的宝贵数据资料。我个人认为这种设置非常美妙；只使用一台机器就可同时拥有 Linux 和 Windows。

随着时间的推移，引导加载程序已经得到了增强，为用户引入了大量的功能。各个引导程序的功能和配置存在差异，但基本的目标是相同的。
GNU GRUB

GNU GRUB 基于原来的 GRUB 程序（最初由 Erich Stefan Boleyn 所创建），正在由自由软件基金会（Free Software Foundation）进行积极开发。

使用 GRUB 作为引导加载程序

与使用 LILO 相同，使用 GRUB 作为活动的引导加载程序所需要的步骤，取决于是安装全新的 OS 还是已经安装了 Linux 并计划转移到 GRUB。如果是进行全新安装，那么可以直接跳转到 配置 GRUB 那一节。如果已经安装了某个 Linux 发行版，那么通常可以选择安装并配置 GRUB（并可以将机器引导到新的 Linux 安装）。

计划迁移到 GRUB 的当前 Linux 用户需要去获得最新版本的 GRUB（见 参考资料）。同样，与 LILO 相同，在做任何其他事情之前，需要在手边准备一张 Linux 引导盘。使用交互模式（后面将描述）则不需要这张磁盘，不过最好拥有一张以备急需时使用。将 LILO 安装到系统中之后，让它接管 MBR 非常简单。以 root 用户身份输入：

# /boot/grub/grub

这样将加载一个类似于 BASH 的命令提示符，可以在这里使用 GRUB 命令：

grub> install (hd1,3)/boot/grub/stage1 (hd0) (hd1,3)/boot/grub/stage2 p (hd1,3)/boot/grub/menu.conf

这个命令使用了 GRUB 安装命令，需要为它给出第一阶段映像的位置以及 MBR 的位置（install (hd1,3)/boot/grub/stage1 (hd1)）。也要给出第二阶段映像的位置（(hd1,3)/boot/grub/stage2）。最后，可选项 p (hd1,3)/boot/grub/menu.conf 告诉 GRUB GUI 菜单配置文件的位置。

在前面的示例中，hd1 是我的 Linux Disk，hd0 是我的 Windows 磁盘。这样将使用当前 GRUB 默认值，并抹去 MBR 中当前所有内容（请阅读 配置 GRUB，以确保能够按预期引导起来）。

配置 GRUB

GRUB 的配置都是通过位于 /boot/grub/grub.conf 的一个配置文件来完成的。清单 2 给出了一个示例配置，使用的是我的家用机器，支持 Linux 和 Windows 机器的双重引导：

清单 2. grub.conf 示例文件

default=0
timeout=10
splashimage=(hd1,3)/grub/splash.xpm.gz
password --md5 $1$opeVt0$Y.br.18LyAasRsGdSKLYlp1
title Red Hat Linux
 password --md5 $1$0peVt0$Y.br.18LyAasRsGdSKLYlp1
 root (hd1,3)
 kernel /vmlinuz-2.4.18-14 ro root=LABEL=/
 initrd /initrd-2.4.18-14.img
title Windows XP
 password --md5 $1$0peVt0$Y.br.18LyAasRsGdSKLYlp1
 rootnoverify (hd0,0)
 chainloader +1
 

清单 2 中的选项：

default= 选项通知 GRUB 在超时之后默认使用哪个映像进行引导。这一选项与 grub.conf 文件中的某个映像相关联。 0 表示指定了第一个，1 表示指定了第二个，依次类推。如果没有在配置文件指定此选项，那么它将引导文件中指定的第一个映像。
timeout= 是在自动引导默认 OS（在本例中是 Red Hat Linux）之前引导提示会等待多少秒。
splashimage= 是用作 GRUB GUI 背景的图片所在的位置。
password 选项指定了使用 MD5 加密的口令，用于访问 GRUB 的交互式引导选项。注意，这不会阻止用户选择引导已经定义的 OS；需要为 每一个 -title 设置它。为了生成一个 md5 口令，请运行 GRUB 所附带的 grub-md5-crypt 工具（以 root 身份）。它将提示输入一个希望加密的口令。然后输出使用 MD5 加密的口令。将这个口令拷贝到 grub.conf 中 password -md5 之后，但是要在同一行上。通常这个口令可以设置为 root 口令，因为无论如何也只有 root 才可以读取 grub.conf 文件。
title 标明了在运行期间能够从用户界面引导的具体 OS。与 LILO 不同，在这个名称中可以有空格。
password 的设置方式与前面的 password 相同。如果计划与其他用户共享此机器，那么不要将这个口令设置为 root 口令。
root 告诉 GRUB OS 文件系统的实际位置。可见，GRUB 引用介质的方式与 LILO 不同。在 LILO 示例中， /dev/hdb3 是第二块硬盘中的第三个分区。Grub 将此硬盘引用为（hd1,3），即第二块硬盘的第三个分区（disk 0 是第一块硬盘）。
kernel：vmlinuz-X.X.XX-XX 是 root 目录中默认引导映像的名称。
initrd：initrd-X.X.XX-XX.img 是 root 目录中默认 initrd 映像的名称。
title 与所有其他 title 选项相同。
password：见其他口令选项。
rootnoverify 告诉 GRUB 不要尝试去改变 OS 的 root。这样，当文件系统不被 GRUB 所支持时，不会出现引导错误。
chainloader +1 告诉 GRUB 使用一个链式加载程序来加载这个 OS，加载 Windows 时需要这个选项。
在 grub.conf 文件中可以使用很多其他参数，不过清单 2 中的参数就足以让机器可用了。要获得关于 grub.conf 的这些以及其他参数的进一步资料，请参考手册页（man grub.conf）。

与 LILO 的配置文件不同，grub.conf 会在引导时被读取，当被修改时不必去更新 MBR。

初始引导过程

与 LILO 类似，当 GRUB 初始加载时，从 MBR 加载第一阶段程序。加载后，它进入第一阶段和第二阶段引导加载程序之间的中间阶段（为了方便讨论，可称为第 1.5 阶段）。之所以存在第 1.5 阶段，是为了能够对 /boot/grub 中的 GRUB 配置文件进行常规的文件系统访问，而不是去访问磁盘块。然后进入引导加载程序的第二阶段，GRUB 加载 grub.conf 文件。

现在应该能够看到 GRUB GUI 了。对于熟悉 Windows 的用户来说，这看起来感觉比 LILO 更友好。不过，不要因为 GRUB 拥有 GUI 就认为它是一个不能处理数据的引导加载程序。可选项多得惊人。（见 引导时的附加配置 中的提示。）

如果像我那样配置，那么现在应该能看到屏幕中有两个选项：引导到 Red Hat Linux 或者引导到 Windows XP。默认情况下，它将加载 Linux。选择任意一个的结果不言而喻。

现在来看一些好东西。

引导时的附加配置

在 GRUB GUI 中，按下任何键都会停止超时的计时。然后按下 P 键，可以输入 GRUB 口令，并获得对 GRUB 交互式引导选项的完全访问权限。按下以下其中一个键，应该能够使用三个选项之中的一个：

要在引导之前编辑命令，请按下 E。这将让您能够为当前选中的 OS 编辑具体的选项。GRUB 只会显示出与那个 OS 的引导相关的选项，然后您可以恰当地进行编辑。当为 root 文件系统指定了错误的 HDD 时，这尤其有用。如果需要以单用户模式访问机器（不需要指定口令就能够让您获得 root 访问权限!），那么在 GRUB 主屏幕上选择 Linux OS。然后与前面一样，按下 E，并移到内核那一行（在我的示例中是 kernel /vmlinuz-2.4.18-14 ro root=LABEL=/）。然后在那一行最后添加 single，并按下 B 来使用修改过的 grub.conf 进行引导。在编辑模式下所做的任何修改都不会保存到 grub.conf 文件中。
要修改内核参数，请按下 A。如果您是一位经验丰富的 Linux 用户，可以根据需要调整内核参数。
要获得类似于 BASH 的命令行界面，请按下 C。这个小型的命令行界面允许您在系统中查找 GRUB 配置文件，加载另外的配置文件，编辑配置文件中的行，以及直接输入 GRUB 命令。如果配置的变化（比如删除了某个分区）让系统无法引导，那么可能会用到这个界面。如果需要将系统引导为单用户模式，或者要让运行级别为 3 而不是普通的运行级别，也可能会使用到它。
这些选项有很多用途，但超出了本文的范围。

可见，GRUB 真正开放了引导期间的可能性。不过，这可能是一件好坏参半的事情，因为 GRUB 也潜在地允许攻击者在 OS 加载之前访问系统。会被误用的主要开放领域是：

访问单用户模式。所有加载到单用户模式的人都会得到 root 访问权限，使得 Linux 可被随意滥用。
访问其他操作系统。任何配置为不需要口令的可引导操作系统，比如 DOS，都将是开放的。
访问 GRUB 编辑器。这允许用户获得修改 GRUB 配置的完全访问权限。
在 GRUB 配置中，设置安全性非常重要；设置口令，并使用 MD5 加密，可以保证整个系统的安全。