浏览器是现在各种在线服务的入口。电脑安全问题迄今仍未得到解决，技术进步为恶意软件提供了新的途径，感染我们的设备、入侵商业网络。例如，智能手机与平板为恶意软件--及其同伙“恶意广告”--带来一片全新天地，它们在其中腾挪作乱。

恶意广告在合法广告与合法网络中注入恶意软件。当然你可能会认为“合法”广告与网络与非法广告与网络之间仅有一线之隔。但是请不要偏题哦。隐私与安全天生就是一对兄弟，保护隐私也就是保护你的安全。

Firefox, Chrome, 以及 Opera 当仁不让属最棒的浏览器：性能最佳、兼容性最好、以及安全性最优。以下五个开源安全应用安装于浏览器后会助你抵御种种威胁。

保护隐私： 开源浏览器安全应用

1. AdBlock

广告网络为恶意软件提供了肥沃的土壤。一个广告网络可以覆盖数千站点，因此攻陷一个广告网络就相当于攻陷数千台机器。AdBlock及其衍生品—AdBlock Plus, AdBlock Pro, 与 AdBlock Edge--都是屏蔽广告的优秀工具，可以让那些充斥烦人广告的网站重新还你一片清静。

当然，凡事都有两面性：上述做法损害了依靠广告收入的站点的利益。这些工具一键式白名单功能，对于那些你希望支持的网站，你可以通过白名单功能关闭这些网站的广告屏蔽。（真的，我亲爱的站长们，如果你不希望网站访问者屏蔽你的广告，那么就适可而止，不要让人反感。当然，作为粉丝，也请您支持您喜爱的站点，将它们放到白名单吧。）

图1:在Ad Blocker中添加其它过滤规则。

Ad Blocker们不仅能屏蔽广告；它们还能屏蔽网站跟踪爬虫与恶意域名。要打开额外过滤规则，点击ad blocker图标 > 点击首选项，转至过滤规则订阅标签。点击按纽添加订阅过滤规则，然后加入Easy Privacy + EasyList规则。加入恶意域名过滤也是个不错的选择；它会屏蔽那些供恶意软件与间谍软件寄生的域名。Adblock可在Firefox, Chrome, Opera, Safari, IE, 以及Android平台下工作。

2. HTTPS Everywhere

浏览器扩展HTTPS Everywhere可确保在网站HTTPS可用的时候，总是以HTTPS方式连接到站点。HTTPS意味着你的连接是以SSL（安全套接层）方式加密的，SSL协议通常用于加密网站与电子邮件连接。HTTPS Everywhere可在Firefox, Chrome, 及Opera下使用。

安装了HTTPS Everywhere之后，它会询问你是否希望启用SSL检测程序。点击“是”，因为SSL检测程序会提供额外保护，防止中间人攻击与虚假SSL证书攻击。HTTPS Everywhere可在Firefox, Chrome, Opera, Safari, IE, 以及Android平台下工作。

3. Social Fixer

Social Fixer驯服Facebook。它给了你一把尚方宝剑，你可以用它过滤“动态汇总”，从而只看到你想看的动态、生成按主题分类的标签动态、隐藏不想查看的动态、鼠标悬停图片时显示完整尺寸的图片、禁止影院方式浏览图像，还有其它更多功能。

Social Fixer本身不是安全工具，但它具有两个重要的安全特性：

• 它可以将Facebook网页截图中你的个人资料头像以通用图标代替，并以虚假名字替代你的用户名，从而起到匿名作用。
• 它可以很可靠地屏蔽Facebook游戏，而Facebook游戏正是尽人皆知的麻烦制造者。

图2: 使用Social Fixer匿名化Facebook网面。

（LCTT 译注：好吧，这个应用和我等无关~~）

4. Privacy Badger

电子前线基金会出品的Privacy Badger是一款优秀的反跟踪与反间谍广告的拦截工具。现在的网页内容来源可谓五花八门：广告服务器、评论服务器、图片工场、第三方登陆服务器，以及其它种种不一而足。

AdBlock也能拦截这些乌七八糟的东西，不过Privacy Badger在此方面更胜一筹。Privacy Badger依靠算法与策略方法而非过滤规则，这样如果拦截出错的话，可以轻易重写，而过滤规则需要专人维护。Privacy Badger在Firefox与Chrome下均可工作。

图3: Privacy Badger拦截跟踪站点。

Privacy Badger装好后就能使用了。点击图标，看看它对你浏览的网页都拦截了哪些东西。你可以试试访问Huffingtonpost.com，这是一家不在每一个页面塞满第三方组件誓不罢休的网站（图3）。

滑块显示每个站点的状态：红色表示该站点被彻底拦截，不能设置cookies（缓冲数据），或者向你提供任何内容。黄色意味着第三方域名正试图跟踪，但是它列于Privacy Badger的允许域名的白名单之中。绿色表示第三方目前还未归入跟踪者之列，但是在你访问若干网站之后，Privacy Badger会观察其行为，并决定是否将其归为跟踪者。

你也可以根据你的偏好来设置滑块；例如，在我访问的某个网站，我用Privacy Badger拦截了bazaarvoice.com，一些购物网站使用这家站点来托管他们的客户评论。

5. Disconnect

Disconnect是另外一款反跟踪反cookie工具，拥有众多功能。它可在Firefox, Chrome, IE, Safari下工作，并且为iOS与Android平台打造了特殊的版本。Disconnect不但能反跟踪，而且它使用自己的虚拟专用网络（VPN），防止窃听与恶意广告，使你的无线传输（Wi-fi, 3G, 4G）更安全。它可以防止部件劫持，而部件劫持是攻击者用于在需要登陆的网站获得访问权限的技术。通过部件劫持，攻击者无需密码，而只要使用窃取的cookies，就能获得网站访问权限。

Disconnect还有安全搜索功能，可以阻止搜索引擎爱挖数据的癖好，你可以安心无虞地使用你中意的搜索引擎。

想象一下，网页上所有东西都腾空而出，奔你而去。当然这一切都是抽象的且在幕后悄然发生，不象有人正在猛击窗户试图进入你家那么明显罢了。但是，威胁倒是实实在在的，而且数不胜数，所以你必须采取预防措施，来保护自己。

本文作者 Carla Schroder 著有The Book of Audacity, Linux Cookbook, Linux Networking Cookbook等书，并撰写了上百篇Linux指南文章。她曾担任Linux Planet与Linux Today网站总编。

via: http://www.smallbusinesscomputing.com/biztools/5-best-open-source-web-browser-security-apps.html

作者：Carla Schroder 译者：yupmoon 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

如果你一直在考虑如何加密电子邮件，那么在众多的邮件服务和邮件客户端中挑来挑去一定是件头痛的事情．可以考虑两种加密方法：SSL或TLS加密会保护发送到邮件服务器的登录名和密码．Gunpg是一款标准的、强大的Linux加密工具，可以加密和认证消息．如果你可以管理自己的GPG加密，并不考虑第三方工具，那它就够了，其它的我们将在稍后讨论．

即便加密了消息，你仍然会暴露在流量分析中，因为消息头部必须是明文形式．所以需要另一款比如Tor network来隐藏你在互联网上的足迹．我们会看看各种邮件服务和客户端，以及其中的利弊．

忘掉Web邮件

如果你使用过GMail, Yahoo，Hotmail或者其它Web邮件提供商的邮件服务，那就忘掉它们吧．你在Web浏览器里输入的任何信息都会暴露在JavaScript攻击中，而且无论服务提供商提供什么保障都是过眼云烟(译者注:此说法靠谱否?)．GMail,Yahoo和Hotmail均提供SSL/TLS加密来防止消息被窃听．但是它们不会提供任何保护来阻碍它们自己的数据挖掘，因此并不会提供端到端的加密．Yahoo和Google都声称将在明年推出端到端的加密．对此我持怀疑态度，因为如果一旦它们的核心业务数据挖掘受到干预，它们就什么都干不了了．

市面上也有各式各样的声称可以为所有类型的电子邮件都能提供安全加密的第三方邮件加密服务，比如Virtru和SafeMess．对此我依旧表示怀疑，因为无论是谁，只要持有加密秘钥就可以访问你的消息，所以你还是要依赖于对他们的信任而不是技术．

对等消息可以避免许多使用集中化服务中的缺陷．RetroShare和Bitmessage是两种流行的范例．我不知道它们是否如实所述，但这么说肯定有其可取之处．

那Anddroid和iOS又如何呢?假设大部分的Android和iOS应用都没有权限获取你的消息的话，那就是最安全的．不要照搬我说的 -- 在应用将要安装到你的设备上时麻烦读读相关的服务条款并检查所要求的权限．即便在初次安装时它们的条款是可接受的，也记得单方面的条款改变是行业的标准，所以做最坏的打算是最安全的．

零知识（Zero Knowledge）

Proton Mail是一款全新的邮件服务，声称采用零知识就可以实现消息加密．认证和消息加密分为两个单独的步骤，Proton遵照Swiss隐私条款，它们不会通过日志记录用户的活动．零知识加密提供真正的安全．这代表只有你拥有你的加密秘钥，如果你丢了它们，你的消息就无法恢复了．

也有许多加密电子邮件服务声称可以保护你的隐私．认真阅读细则，查看红色标注的地方，比如受限的用户数据采集，与好友分享，与执法部门的合作等．这些条款暗示它们会收集和共享用户数据，拥有权限获取你的加密秘钥，并读取你的消息．

Linux邮件客户端

一款独立的开源邮件客户端，比如, Mutt, Claws, Evolution, Sylpheed和Alpine，可建立你自己控制的GnuPG秘钥，给你大部分的保护．（建立更安全的电子邮件和Web浏览的最容易的方式是运行TAILS live的Linux发行版．详情查看通过 Tor、TAILS 和 Debian 在网上保护你自己。）

无论你使用的是TAILS还是一款标准Linux发行版，管理GnuPG的方法是相同的，所以下面来学习如何使用GnuPG加密消息．

使用GnuPG

首先，熟悉一下相关术语。OpenPGP是一种开放的电子邮件加密和认证协议，基于菲利普·齐默曼的Pretty Good Privacy (PGP)。GNU Privacy Guard (GnuPG or GPG)是OpenPGP的GPL实现。GnuPG使用对称公钥加密算法，也就是说会生成一对密钥：一个任何人都可以用来加密发送给你的消息的公钥和一个只有你自己拥有用来解密消息的的私钥。GnuPG执行两个分开的函数：数字化签名消息以证明消息来自你和加密消息。任何人都可以读到你的数字签名消息，但只有那些与你交换密钥的人才可以读取加密消息。切记千万不要与他人分享你的密钥！只能分享公钥。

Seahorse是GnuPG对应的GNOME图形化前端，KGpg是KDE图形化的GnuPG工具。

Kgpg为了创建了管理加密秘钥提供了一个很好的GUI界面．

现在我们执行生成和管理GunPG密钥的基本步骤。这个命令生成一个新的密钥：

$ gpg --gen-key

这个过程有许多步骤；对于大部分人来说，只需要回答所有的问题，遵循默认设置就好。当你生成你的密钥时，记下来并将其保存在一个安全的地方，因为如果你丢掉了它，你就不能解密任何消息了。任何关于不要写下密码的建议都是错误的。我们中的大部分人要记住许多登录名和密码，包括那些我们几乎从来不会用到的，所以全部记住它们是不现实的。你知道当人们不写下他们的密码时会发生什么吗？他们会选择生成简单的密码并不断重复使用。你存储在电脑里的任何东西都潜在地会被攻击窃取；一个保存在上锁的柜子里的小本是无法通过渗透获取的，除了物理的入侵，当然入侵者要知道如何去寻找它。

我必须叮嘱你们去弄清楚如何使用新密钥去配置邮件客户端，因为每一个都不同。你可以按照如下操作列出你的密钥：

$ gpg --list-keys
/home/carla/.gnupg/pubring.gpg
------------------------------
pub   2048R/587DD0F5 2014-08-13
uid                  Carla Schroder (my gpg key) 
sub   2048R/AE05E1E4 2014-08-13

这能快速地获知像密钥的位置、名称（也就是UID）等必要信息。假设你想要把公钥上传到密钥服务器，可以参考实例操作：

$ gpg --send-keys 'Carla Schroder' --keyserver http://example.com

当你生成了一个新的密钥要上传到公钥服务器，你也应该生成一个撤销证书。不要推迟到以后做———当你生成新密钥时就生成它。你可以给它取任意的名称，比如使用一个像mycodeproject.asc的描述性名称来代替revoke.asc：

$ gpg --output revoke.asc --gen-revoke 'Carla Schroder'

如果你的密钥变得不可靠了，你可以通过向keyring导入撤销证书来撤销它：

$ gpg --import ~/.gnupg/revoke.asc

然后生成并上传一个新的密钥来取代它。当它们更新到密钥数据库时，所有使用旧密钥的用户都会被通知。

你必须像保护私钥一样保护撤销证书。将它拷贝到CD或USB存储器中，并加锁，然后从电脑中删除。这是明文密钥，所以你甚至可以将它打印出来。

如果你需要一份复制粘贴的密钥，比如在允许将密钥粘贴到网页表格中的公用keyring中，或者是想将公钥发布到个人站点上，那么你必须生成一份公钥的ASCII-armored版本：

$ gpg --output carla-pubkey.asc --export -a 'Carla Schroder'

这会生成可见的明文公钥，就像下面这个小例子：

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1
mQENBFPrn4gBCADeEXKdrDOV3AFXL7QQQ+i61rMOZKwFTxlJlNbAVczpawkWRC3l
IrWeeJiy2VyoMQ2ZXpBLDwGEjVQ5H7/UyjUsP8h2ufIJt01NO1pQJMwaOMcS5yTS
[...]
I+LNrbP23HEvgAdNSBWqa8MaZGUWBietQP7JsKjmE+ukalm8jY8mdWDyS4nMhZY=
=QL65
-----END PGP PUBLIC KEY BLOCK-----

相信上面的教程应该使你学会如何使用GnuPG。如果不够，The GnuPG manuals上有使用GnuPG和相关全部配置的详细信息。

via: http://www.linux.com/learn/tutorials/784165-how-to-encrypt-email-in-linux

作者：Carla Schroder 译者：KayGuoWhu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Clonezilla是一个用于Linux，Free-Net-OpenBSD，Mac OS X，Windows以及Minix的分区和磁盘克隆程序。它支持所有主要的文件系统，包括EXT，NTFS，FAT，XFS，JFS和Btrfs，LVM2，以及VMWare的企业集群文件系统VMFS3和VMFS5。Clonezilla支持32位和64位系统，同时支持旧版BIOS和UEFI BIOS，并且同时支持MBR和GPT分区表。它是一个用于完整备份Windows系统和所有安装于上的应用软件的好工具，而我喜欢用它来为Linux测试系统做备份，以便我可以在其上做疯狂的实验搞坏后，可以快速恢复它们。

Clonezilla也可以使用dd命令来备份不支持的文件系统，该命令可以复制块而非文件，因而不必在意文件系统。简单点说，就是Clonezilla可以复制任何东西。（关于块的快速说明：磁盘扇区是磁盘上最小的可编址存储单元，而块是由单个或者多个扇区组成的逻辑数据结构。）

Clonezilla分为两个版本：Clonezilla Live和Clonezilla Server Edition（SE）。Clonezilla Live对于将单个计算机克隆到本地存储设备或者网络共享来说是一流的。而Clonezilla SE则适合更大的部署，用于一次性快速多点克隆整个网络中的PC。Clonezilla SE是一个神奇的软件，我们将在今后讨论。今天，我们将创建一个Clonezilla Live USB存储棒，克隆某个系统，然后恢复它。

Clonezilla和Tuxboot

当你访问下载页时，你会看到稳定版和可选稳定发行版。也有测试版本，如果你有兴趣帮助改善Clonezilla，那么我推荐你使用此版本。稳定版基于Debian，不含有非自由软件。可选稳定版基于Ubuntu，包含有一些非自由固件，并支持UEFI安全启动。

在你下载Clonezilla后，请安装Tuxboot来复制Clonezilla到USB存储棒。Tuxboot是一个Unetbootin的修改版，它支持Clonezilla；你不能使用Unetbootin，因为它无法配合工作。安装Tuxboot有点让人头痛，然而Ubuntu用户通过个人包归档包（PPA）方便地安装：

$ sudo apt-add-repository ppa:thomas.tsai/ubuntu-tuxboot
$ sudo apt-get update
$ sudo apt-get install tuxboot

如果你没有运行Ubuntu，并且你的发行版不包含打包好的Tuxboot版本，那么请下载源代码tarball，并遵循README.txt文件中的说明来编译并安装。

图1： 在USB存储棒上为Clonezilla创建分区
安装完Tuxboot后，就可以使用它来创建你精巧的可直接启动的Clonezilla USB存储棒了。首先，创建一个最小200MB的FAT 32分区；图1（上图）展示了使用GParted来进行分区。我喜欢使用类似“Clonezilla”这样的标签，这会让我知道它是个什么东西。该例子中展示了将一个2GB的存储棒格式化成一个单个分区。

然后，启动Tuxboot（图2）。选中“预下载的（Pre-downloaded）”然后点击带省略号的按钮来选择Clonezilla文件。它会自动发现你的USB存储棒，而你需要选中分区号来确保它找到的是正确的那个，我的例子中是/dev/sdd1。点击确定，然后当它完成后点击退出。它会问你是否要重启动，不要担心，现在不用重启。现在你有一个精巧的便携式Clonezilla USB存储棒了，你可以随时随地使用它了。

图2： 启动Tuxboot

创建磁盘镜像

在你想要备份的计算机上启动Clonezilla USB存储棒，第一个映入你眼帘的是常规的启动菜单。启动到默认条目。你会被问及使用何种语言和键盘，而当你到达启动Clonezilla菜单时，请选择启动Clonezilla。在下一级菜单中选择设备镜像，然后进入下一屏。

这一屏有点让人摸不着头脑，里头有什么localdev，sshserver，sambaserver，以及nfsserver之类的选项。这里就是要你选择将备份的镜像拷贝到哪里，目标分区或者驱动器必须和你要拷贝的卷要一样大，甚至更大。如果你选择localdev，那么你需要一个足够大的本地分区来存储你的镜像。附加的USB硬盘驱动器是一个不错的，快速而又简单的选项。如果你选择任何服务器选项，你需要能连接到服务器，并提供IP地址并登录上去。我将使用一个本地分区，这就是说要选择localdev。

当你选择local\_dev时，Clonezilla会扫描所有连接到本地的存储折本，包括硬盘和USB存储设备。然后，它会列出所有分区。选择你想要存储镜像的分区，然后它会问你使用哪个目录并列出目录。选择你所需要的目录，然后进入下一屏，它会显示所有的挂载以及已使用/可用的空间。按回车进入下一屏，请选择初学者还是专家模式。我选择初学者模式。

在下一屏中，你可以选择存盘，就是选择创建整个硬盘的镜像，还是创建分区镜像，创建分区镜像允许你选择单个分区。我想要选择分区。

下一屏中，它会问你新建镜像的名称。在接受默认名称，或者输入你自己的名称后，进入下一屏。Clonezilla会扫描你所有的分区并创建一个检查列表，你可以从中选择你想要拷贝的。选择完后，在下一屏中会让你选择是否进行文件系统检查并修复。我才没这耐心，所以直接跳过了。

下一屏中，会问你是否想要Clonezilla检查你新创建的镜像，以确保它是可恢复的。选“是”吧，确保万无一失。接下来，它会给你一个命令行提示，如果你想用命令行而非GUI，那么你必须再次按回车。你需要再次确认，并输入y来确认制作拷贝。

在Clonezilla创建新镜像的时候，你可以好好欣赏一下这个友好的红、白、蓝三色的进度屏（图3）。

图3： 守候创建新镜像
全部完成后，按回车然后选择重启，记得拔下你的Clonezilla USB存储棒。正常启动计算机，然后去看看你新创建的Clonezilla镜像吧。你应该看到像下面这样的东西：

$ ls -l /2014-08-07-11-img/
total 1241448
-rw-r--r-- 1 root root       1223 Aug  7 04:22 blkdev.list
-rw-r--r-- 1 root root        636 Aug  7 04:22 blkid.list
-rw-r--r-- 1 root root       3658 Aug  7 04:24 clonezilla-img
-rw-r--r-- 1 root root      12379 Aug  7 04:24 Info-dmi.txt
-rw-r--r-- 1 root root      22685 Aug  7 04:24 Info-lshw.txt
-rw-r--r-- 1 root root       3652 Aug  7 04:24 Info-lspci.txt
-rw-r--r-- 1 root root        171 Aug  7 04:24 Info-packages.txt
-rw-r--r-- 1 root root         86 Aug  7 04:24 Info-saved-by-cmd.txt
-rw-r--r-- 1 root root          5 Aug  7 04:24 parts
-rw------- 1 root root 1270096769 Aug  7 04:24 sda6.ext4-ptcl-img.gz.aa
-rw-r--r-- 1 root root         37 Aug  7 04:22 sda-chs.sf
-rw-r--r-- 1 root root    1048064 Aug  7 04:22 sda-hidden-data-after-mbr
-rw-r--r-- 1 root root        512 Aug  7 04:22 sda-mbr
-rw-r--r-- 1 root root        750 Aug  7 04:22 sda-pt.parted
-rw-r--r-- 1 root root        625 Aug  7 04:22 sda-pt.parted.compact
-rw-r--r-- 1 root root        514 Aug  7 04:22 sda-pt.sf

恢复Clonezilla镜像

恢复镜像和创建镜像类似。再次使用Clonezilla启动，经过同样的初始化步骤后，选择devimage，然后在localdev屏，选择你要恢复的镜像所在的位置，它要么在本地设备上，要么在网络共享上。然后继续下面的操作，确保你的恢复镜像正确，并选择了正确的位置。

你可以在Clonezilla Live文档页获得更多Clonezilla的神奇力量。

via: http://www.linux.com/learn/tutorials/783416-how-to-image-and-clone-hard-drives-with-clonezilla

作者：Carla Schroder 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

旧版GRUB我们使用了一段时间了，这个重要的Linux通用引导器的版本已经到了0.97。尽管旧版GRUB有很多的优点，但是它已经有点陈旧了，并且它的开发者也希望添加更多的功能，于是，GRUB 2 时代就要来了。

GRUB 2 做了几个明显的改进。它可以从移动存储设备上启动，并且可以通过配置一个选项来进入系统BIOS。相对于将所有的配置都放到一个配置文件/boot/grub/menu.lst中 （现在默认是/boot/grub/grub.cfg），使用各种脚本来配置会更复杂。你不要直接编辑这个文件，那不是人干的事，太复杂了，我们需要使用其它的脚本来改变。我们卑微的人类可以编辑修改/etc/default/grub文件，它主要是控制Grub菜单的外观。我们还可以修改/etc/grub.d/下的脚本，这些脚本用于启动操作系统、控制外部应用程序，如memtest 、os\_prober和theming等等 。./boot/grub/grub.cfg是由/etc/default/grub和/etc/grub.d/*生成的。当你修改了某个地方，你必须要运行update-grub命令来生成它。

好消息是，update-grub脚本可以可靠的检测内核、启动文件，并添加所有的操作系统，自动生成你的启动菜单，所以你不必手动的修改他们。

我们还要学习如何解决两个常见的故障。当启动系统时，它会停在grub>提示上，这是一个完整的GRUB 2命令界面，所以不要惊慌。这意味着GRUB 2依旧可以正常启动和加载normal.mod模块（它和其他模块分别位于/boot/grub/[架构]/ 下），但没有找到你的grub.cfg文件。如果你看到grub rescue> 这意味着它无法找到normal.mod，因此它有可能找不到你的启动文件。

这是如何发生的？因为内核可能改变驱动器分区号码的分配，或者您移动了您的硬盘驱动器，或者你手动改变一些分区，也有可能是安装一个新的操作系统或者移动一些文件。在这些情况下你的启动文件仍然存在，但GRUB不能找到他们。所以你可以在GRUB提示符中找到启动文件，设置它们的位置，然后启动您的系统并修复GRUB配置。

GRUB 2 命令行

GRUB 2 的命令界面和上一代GRUB中的一样强大。你可以用它来找到引导镜像，内核和根文件系统。事实上，它可以让你避开权限和其它访问控制，完全访问本地计算机上的所有文件。有些人可能会认为这是一个安全漏洞，但是你知道古老的UNIX的名言：有物理访问机器权限的人，就是拥有它的人。

当你在grub >提示时，你有许多类似命令行界面的功能，如命令历史和tab补全。但是grub rescue>模式是受限的，没有命令历史，没有tab补全。

如果你是在一个正常运作的系统上练习，那就当GRUB菜单出现时，可以按下C来打开GRUB命令行界面。你可以通过向上和向下光标键滚动你的菜单条目来停止启动倒计时。在GRUB命令行下做实验是安全的，因为做不了永久的修改，一切都是暂时的。如果你已经看到grub >或grub rescue>提示符，那就说明你的表现时刻到了。

接下来的几个命令可以在grub>和grub rescue模式下运行。你应该运行的第一个命令是设置一个分页器，将长的命令分页。如下：

grub> set pager=1

等号两侧必须不能出现空格。现在让我们做一点探索。输入ls来列出的GRUB识别的所有分区：

grub> ls
(hd0) (hd0,msdos2) (hd0,msdos1)

msdos是什么？这意味着该系统具有老式的MS-DOS分区表，而不是全新的全局唯一标识符的分区表（GPT）。参见“在Linux下使用新的GUID分区表，和古老的MBR说再见！”。如果你正在运行的GPT，它会出现(hd0，GPT1)。现在让我们看看，使用ls命令查看你的系统里面有什么文件：

grub> ls (hd0,1)/
lost+found/ bin/ boot/ cdrom/ dev/ etc/ home/  lib/
lib64/ media/ mnt/ opt/ proc/ root/ run/ sbin/ 
srv/ sys/ tmp/ usr/ var/ vmlinuz vmlinuz.old 
initrd.img initrd.img.old

太好了，我们已经找到了根文件系统。你可以省略msdos和GPT的标签。如果没有加分区后面的斜杠/，则只会列出分区的信息。你可以用cat命令显示文件系统上的任何文件：

grub> cat (hd0,1)/etc/issue
Ubuntu 14.04 LTS \n \l

在一个多引导系统上，通过/etc/issue文件可以知道这是哪个Linux系统。

从 grub> 中启动

下面讲述如何设置启动文件并从grub >提示下启动系统。我们已经知道如何从Linux根文件系统(hd0,1)下运行ls命令，你可以一直寻找直到找到你的/boot/grub所在位置。然后运行以下命令，记得使用您自己的根分区，内核和initrd映像等参数：

grub> set root=(hd0,1)
grub> linux /boot/vmlinuz-3.13.0-29-generic root=/dev/sda1
grub> initrd /boot/initrd.img-3.13.0-29-generic
grub> boot

第一行设置分区的根文件系统。第二行告诉GRUB您想要使用的内核位置。开始输入/boot/vmli，然后使用tab补完填写。输入root= /dev/sdX设置根文件系统位置。是的，这似乎是多余的，但如果你忘记了输入，你会得到一个kernel panic。你知道怎么找到正确的分区吗？hd0,1 即 /dev/sda1，hd1,1 即 /dev/sdb1，hd3,2 即 /dev/ sdd2。我想你可以自己推算剩下的了。

第三行设置initrd文件，必须是和内核相同的版本号。

最后一行启动系统。

在一些Linux系统上，内核和initrd是被符号链接到当前的根文件系统的根目录，就像：

$ ls -l /
vmlinuz -> boot/vmlinuz-3.13.0-29-generic
initrd.img -> boot/initrd.img-3.13.0-29-generic

所以，你也可以这样输入命令：

grub> set root=(hd0,1)
grub> linux /vmlinuz root=/dev/sda1
grub> initrd /initrd.img
grub> boot

从grub rescue> 中启动

如果你处在grub rescue> 命令界面下，命令有所不同，你必须要先加载两个模块normal.mod 和 linux.mod。

grub rescue> set prefix=(hd0,1)/boot/grub
grub rescue> set root=(hd0,1)
grub rescue> insmod normal
grub rescue> normal
grub rescue> insmod linux
grub rescue> linux /boot/vmlinuz-3.13.0-29-generic root=/dev/sda1
grub rescue> initrd /boot/initrd.img-3.13.0-29-generic
grub rescue> boot

在你加载了这两个模块之后tab补完的功能就可以用了。

永久性的修复

当你成功地启动你的系统，运行这些命令来永久修复GRUB：

# update-grub
Generating grub configuration file ...
Found background: /usr/share/images/grub/Apollo_17_The_Last_Moon_Shot_Edit1.tga
Found background image: /usr/share/images/grub/Apollo_17_The_Last_Moon_Shot_Edit1.tga
Found linux image: /boot/vmlinuz-3.13.0-29-generic
Found initrd image: /boot/initrd.img-3.13.0-29-generic
Found linux image: /boot/vmlinuz-3.13.0-27-generic
Found initrd image: /boot/initrd.img-3.13.0-27-generic
Found linux image: /boot/vmlinuz-3.13.0-24-generic
Found initrd image: /boot/initrd.img-3.13.0-24-generic
Found memtest86+ image: /boot/memtest86+.elf
Found memtest86+ image: /boot/memtest86+.bin
done
# grub-install /dev/sda
Installing for i386-pc platform.
Installation finished. No error reported.

当你运行 grub-install 时，记得GRUB是安装到整个硬盘驱动器的主引导扇区而不是到一个具体分区，所以不要加上像/dev/sda1一样的分区号。

如果还是不能使用

如果你的系统是如此的倒霉，而且这个方式没有能起作用，那就尝试超级GRUB2现场救援磁盘吧。官方GNU GRUB手册也应该有所帮助。

via: http://www.linux.com/learn/tutorials/776643-how-to-rescue-a-non-booting-grub-2-on-linux

译者：MikeCoder 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出