在 Alpine Linux 中，syslinux 是默认常用的启动引导程序，若不做加固，攻击者可通过按 Tab 键修改启动参数（如添加 single、rw init=/bin/sh）进入单用户模式，直接获取系统根权限。本文将提供 syslinux 密码保护的常规配置步骤，快速完成启动加固，仅限制启动参数修改，不影响正常回车启动系统。

一、前提准备：生成 SHA-512 密码 Hash

Alpine Linux 中需先安装 mkpasswd 工具（包含在 whois 包中），再生成加密密码 Hash（syslinux 不支持明文密码）。

1. 安装依赖工具：

apk add --no-cache whois

2. 生成 SHA-512 格式密码 Hash：

mkpasswd -m sha-512crypt

3. 执行命令后，按照提示输入你要设置的启动保护密码（输入时无明文回显，输入完成回车即可），终端会输出一串以 $5$ 开头的字符串，这就是密码的 Hash 值，复制保存好该字符串，后续配置会用到。

二、配置 syslinux 密码参数

Alpine Linux 中通过修改 /etc/update-extlinux.conf 文件来配置 syslinux 相关参数，实现密码保护并禁止随意修改启动选项。

1. 追加配置内容到配置文件（将复制的 Hash 值替换下面的示例 Hash）：

cat >> /etc/update-extlinux.conf << 'EOF'
# 禁止修改启动选项，加固安全
allowoptions=0
# 配置 syslinux 启动保护密码（替换为你自己生成的 $5$ 开头的 Hash 值）
password='$5$DsTUx0/nhDhkM.8P$5Qsj2/k05zv9e3DFUivSTqC.jD0XT7W4veOEccCqwX9'
EOF

注意：这里使用 'EOF'（单引号包裹），是为了防止系统解析 Hash 值中的特殊字符，确保配置内容完整保留。

三、应用配置变更

配置完成后，需要执行 update-extlinux 命令，将配置同步到 /boot/extlinux.conf（syslinux 实际生效的配置文件）。

update-extlinux

该命令无报错即表示应用成功，无需额外重启服务。

四、验证加固效果

1. 先验证配置是否已同步生效：

cat /boot/extlinux.conf

执行后，若终端输出中包含 allowoptions 0 和你配置的 password 对应的 Hash 值，说明配置已同步成功。

2. 重启系统进行实际测试：

reboot

3. 测试两种场景：
   • 正常场景：系统启动时直接回车，无需输入密码，顺利进入 Alpine Linux 系统，不影响正常使用。
   • 加固场景：系统启动时按 Tab 键，尝试修改启动参数，此时会提示输入密码，只有输入正确的密码才能修改启动选项，有效防止恶意用户通过单用户模式提权。