Como adianto no título xa dende a revisión 2529 do SVN de Grub2 contamos con "Basic authentication support". Un dos grandes erros de regresión que Grub2 introducía ao reemprazar a grub en moitas das distros actuais. Este pequeno erro impedíanme poñelo en produción nos ambientes "hostís" nos que teño implantado GNU/Linux (comunidade universitaria).

Comentar inicialmente que todavía está nunha fase de desenvolvemento inicial pero logo de probalo podo confirmar que funciona bastante ben. Aquí explico como activar o soporte de autenticación en grub2 e así evitar que un usuario sen privilexios cambie as entradas do menú grub.

Editade o ficheiro /boot/grub/grub.cfg e inseride na parte superior:

set superusers="usuario1"
password usuario1 password1
password usuario2 password2

menuentry "GNU/Linux" {
        set root=(hd0,1)
        linux /vmlinuz
}

menuentry "Windows" --users user2 {
        set root=(hd0,2)
        chainloader +1
}

como vedes é unha sintaxe ben sinxela e autoexplicativa, ollade a particularidade que na segunda entrada de menú só poderá arrincar o usuario2 alén de poder editar a entrada tanto o usuario 1 como o 2.

Por outra banda, se vos dades de conta estamos inserindo un gran fallo de seguridade porque a contrasinal está escrita en claro. Polo momento password só ten soporte para contrasinais en claro polo que se queremos que un usuario teña a contrasinal cifrada teremos que crear un ficheiro de configuración en /etc/grub.d/ e empregando

grub-mkpasswd-pbkdf2

poderemos xerar un bloque que representa o usuario coa contrasinal como o seguinte (recortado para que non altere a disposición da páxina:

password_pbkdf2 user3 grub.pbkdf2.sha512.10000.9290F727ED06C....38BA45

Para información máis detallada e posibelmente máis actualizada dirixídevos a http://grub.enbug.org/Authentication