Загрузчик GRUB (GRand Unified Bootloader) считается более гибким и современным, чем LILO. Благодаря иной схеме загрузки операционных систем GRUB "понимает" больше файловых систем, нежели LILO, а именно FAT/FAT32, ext2, ext3, ReiserFS, XFS, BSDFS и др.
Конфигурационный файл GRUB называется /boot/grub/grub.conf. Рассмотрим облегченный пример этого файла в листинге (реальный конфигурационный файл будет намного сложнее).

Листинг. Файл /boot/grub/grub.conf
boot=/dev/hda default=0 timeout=10 Јallback=l
splashimage=(hdO,1)/grub/mysplash.xpm.gz
hiddenmenu
title Linux
root (hdO,l)
kernel /vmlinuz-2.6.14-1.1263 ro root=/dev/hda2
initrd /initrd-2.6.14-1.1263.img title WinXP
rootnoverify (hdO,0) chainloader+1

Параметр boot указывает загрузочное устройство, а параметр default — загрузочную метку по умолчанию. Метка начинается параметром title и продолжается до следующего title. Нумерация меток начинается с 0. Параметр timeout задает количество секунд, по истечению которых будет загружена операционная система по умолчанию.
Параметр default полезно использовать с параметром fallback. Первый задает операционную систему по умолчанию, а второй — операционную систему, которая будет загружена в случае, если с загрузкой операционной системы по умолчанию произошла ошибка.
Задать графическое изображение позволяет параметр splashimage. Чуть позже мы разберемся, как самостоятельно создать такое изображение.
При работе с GRUB вам будет трудно привыкнуть к именам разделов. GRUB вместо привычных /dev/hd* (или /dev/sd* для SCSI-дисков) использует свои имена. Перевести имя /dev/hd* в имя в формате GRUB просто. Во-первых, опускается /dev/. Во-вторых, устройства отсчитываются не с буквы "а", как в Linux, а с нуля. Разделы на дисках отсчитываются не с единицы, а тоже с нуля, причем номер раздела указывается через запятую. Потом все имя берется в скобки. Например, раздел /dev/hda 1 в GRUB будет выглядеть как (hdO,Q), а раздел /dev/hdb2 как (hdl.l).
Параметр rootnoverify указывается для Windows, точнее, для всех не-Linux операционных систем. Параметр ehainloader указывается для операционных систем, поддерживающих цепочечную загрузку. Если ваша Windows установлена на неактивном разделе, с которого Windows не может загружаться, тогда перед параметром chainloader нужно указать параметр makeactive.
Установить GRUB, если вы это еще не сделали, можно командой /sbin/grub-install. После изменения конфигурационного файла переустанавливать загрузчик, как в случае с LILO, не нужно. Благодаря гибкости GRUB переустановка загрузчика не нужна.

23.2.2. Защищенный режим
Теперь самое время защитить ваш загрузчик. Введите команду grub. Появится приглашение:
grub>
В ответ на приглашение введите команду: md5crypt
После этого программа запросит вас ввести пароль, который будет закодирован, и на экране появится шифр введенного пароля:
Password: ******
Вы получите зашифрованный пароль (если кому интересно, я ввел слово ubuntu). Перепишите данный шифр (а еще лучше, выделите его и выполните команду меню терминала Правка | Копировать).

После этого введите команду: quit
На всякий случай сделайте копию конфигурационного файла загрузчика: sudo ср /boot/grub/menu.1st /boot/grub/menu.lst_backup
Теперь откройте файл /boot/grub/menu.lst в любом текстовом редакторе: gksudo gedit /boot/grub/menu.1st
Найдите секцию пароля:
## password [1 —md5' ] passwd
# If used in the first section of a menu file, disable all interactive
# editing control (menu entry editor and command-line) and entries
# protected by the command 'lock'
# e.g. password topsecret
# password —rad5 SlSgIAU0/$aW78kHKlQfV3P2b2znUoe/
# password topsecret
После нее вставьте строку:
password —md5 ваициифр
После опции md5 вы должны указать свой шифр, который вы получили в ответ на введенный пароль.
Теперь найдите следующую секцию:
title Ubuntu, kernel 2.6.10-5-386 (recovery mode) root (hdO,1)
kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single initrd /boot/initrd.img-2.6.10-5-386
savedefault i
boot
Закомментируйте ее, т. е. добавьте символ # в начале каждой строки:
#title Obuntu, kernel 2.6.10-5-386 (recovery mode) #root (hdO,1)
#kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
#initrd /boot/initrd.img-2.6,10-5-386
#savedefault
ffUUUl
Сохраните файл. Разберемся, что же мы сделали. Мы задали пароль, с помощью которого можно редактировать загрузочное меню GRUB. Пока не будет указан заданный пароль, GRUB не разрешит редактировать загрузочное меню. Также мы удалили режим восстановления, который тоже можно использовать для взлома нашей системы.