Tentar definir uma senha para a linha de comando grub2 se aplica a tudo

Estou tentando editar o arquivo grub.cfg para que ele tenha uma senha para entrar na linha de comando (ele é aberto depois que 'e' é pressionado). Eu não posso fazer isso editando os scripts em /etc/grub.d/, já que não é meu computador pessoal e meu chefe já editou o grub.cfg e o grub-update apagaria suas mudanças (eu tentei fazer isso e não funciona).

Agora mesmo, parece assim:

Debian 
Advanced Options

O Debian é a opção padrão e pode ser acessado por qualquer pessoa. Opções Avançadas é um submenu com várias entradas de menu e precisa de uma senha (isso é feito definindo usuário e senha logo após os brakcets do submenu)

O problema é que, se alguém pressionar 'e', ele poderá acessar a linha de comandos e, assim, tornar-se root facilmente.

Descobri que o que eu quero deve ser feito em 40_custom ou 41_custom, então fiz isso diretamente no grub.cfg:

### BEGIN /etc/grub.d/40_custom ###
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
set superusers="root"  
password_pbkdf2 root grub.pbkdf2.sha512...
### END /etc/grub.d/40_custom ###

Depois disso, eu reinicio e a senha é solicitada para tudo , também para o primeiro menuentry (Debian), que não deveria.

Eu tentei o mesmo com 41_custom:

### BEGIN /etc/grub.d/41_custom ###
if [ -f  \${config_directory}/custom.cfg ]; then
  source \${config_directory}/custom.cfg
elif [ -z "\${config_directory}" -a -f  \$prefix/custom.cfg ]; then
  source \$prefix/custom.cfg;
fi
set superusers="root"  
password_pbkdf2 root grub.pbkdf2.sha512...
### END /etc/grub.d/41_custom ###

O mesmo resultado.

Li tudo o que encontrei e não vejo o que está perdendo. Desculpe se não fui claro, já que o inglês não é minha primeira língua, mas muito obrigada.