Una de las cosas de las que carecía grub 2 respecto a grub 1 era la posibilidad de asignar una contraseña, de forma que no cualquiera pudiese editar el menú del gestor de arranque para, por ejemplo, pasar parámetros adicionales de arranque al kernel, cambiar el nivel de arranque o aun peor, cambiar la contraseña de root. Revisando recientemente me vi que ya es posible hacer esto, y veremos cómo hacerlo a continuación

Protección con contraseña

Para proteger la edición de grub 2 se debe asignar un super usuario y una contraseña, de preferencia cifrada. Para hacer esto primero se debe generar un hash con la frase deseada, usando la orden grub-mkpasswd-pbkdf2, como se muestra en la imagen anterior. Una vez generado el hash se debe proceder a editar el archivo /etc/grub.d/00_header, colocando lo siguiente al final:

cat << EOF
set superusers="lgallard"
 password_pbkdf2 lgallard grub.pbkdf2.sha512.10000.9BF88302B67DCCB25A7B939F5171B36D04AE7B8C1E1FF90511204DC08CCA98E9E9E9332B32E6908D1DF983A42603ACA1E2E8411B0407762C3A1839F707BF34E8.343BD210589487FBAEA3DA4889053206380B9590505F926764ED028FDB38EFD87C76505C9ABC6FA191CEE4AB3C407988C73AA773C46FC2A9A49D1078F222E5D9
 EOF

En este caso, el super usuario es lgallard, y el hash es el es que se generó anteriormente.  Luego de editar este archivo se deben aplicar los cambios usando la siguiente orden:

update-grub2

Ahora tu gestor de arrnaque con Grub 2 está protegido con contraseña!

Referencia: Grub 2 Password Protection