LOADER.CONF(5) loader.conf LOADER.CONF(5) BEZEICHNUNG loader.conf - Konfigurationsdatei fur Systemd-boot UBERSICHT ESP/loader/loader.conf, ESP/loader/entries/*.conf XBOOTLDR/loader/entries/*.conf BESCHREIBUNG systemd-boot(7) wird ESP/loader/loader.conf und alle Dateien mit der Erweiterung >>.conf<< unterhalb von ESP/loader/entries/ auf der EFI-Systempartition (ESP) und XBOOTLDR/loader/entries/ auf der erweiterten Systemstartpartition (XBOOTLDR) auslesen, wie das in der Systemladerspezifikation[1] definiert ist. Jede dieser Konfigurationsdateien muss aus einer Reihe von durch Zeilenumbruchen (d.h. ASCII-Code 10) getrennten Zeilen bestehen, wobei jede Zeile aus einem Optionsnamen, gefolgt von Leerraum und dem Optionswert, besteht. >>#<< kann zur Einleitung einer Kommentarzeile verwandt werden. Leere und Kommentarzeilen werden ignoriert. Die Dateien verwenden UTF-8-Kodierung. Logische Argumente konnen als >>yes<>y<>true<>t<>on<>1<< oder >>no<>n<>false<>f<>off<>0<< geschrieben werden. OPTIONEN Die durch die Dateien ESP/loader/entries/*.conf und XBOOTLDR/loader/entries/*.conf verstandenen Konfigurationsoptionen sind als Teil der Systemladerspezifikation[1] spezifiziert. Die Konfigurationsdatei loader.conf versteht folgende Konfigurationsoptionen: default Ein Glob-Muster, um den Standardeintrag auszuwahlen. Der Standardeintrag kann im Systemstartmenu selbst geandert werden, dann wird der Name des ausgewahlten Eintrags in einer EFI-Variablen gespeichert und diese Option ausser Kraft gesetzt. Falls auf >>@saved<< gesetzt, wird der ausgewahlte Eintrag bei jedem Systemstart als EFI-Variable gesetzt und automatisch beim nachsten Mal, wenn das Systemstartprogramm startet, ausgewahlt. Tabelle 1. Automatisch erkannte Eintrage werden die folgenden Namen verwenden: +------------------------------+--------------------------+ |Name | Beschreibung | +------------------------------+--------------------------+ |auto-efi-default | EFI-Standardladeprogramm | +------------------------------+--------------------------+ |auto-efi-shell | EFI-Shell | +------------------------------+--------------------------+ |auto-osx | macOS | +------------------------------+--------------------------+ |auto-poweroff | Ausschalten des Systems | +------------------------------+--------------------------+ |auto-reboot | Neustart des Systems | +------------------------------+--------------------------+ |auto-reboot-to-firmware-setup | Neustart in die | | | Firmware-Schnittstelle | +------------------------------+--------------------------+ |auto-windows | Windows-Boot-Manager | +------------------------------+--------------------------+ Es werden die Glob-Platzhalterzeichenmuster >>?<<, >>*<< und >>[]<< (einschliesslich Bereiche) unterstutzt. Beachten Sie, dass diese Muster die gleiche Syntax wie glob(7) verwenden, aber nicht alle Funktionalitaten unterstutzen. Insbesondere die Verneinung von Mengen und benannte Zeichenklassen werden nicht unterstutzt. Der Vergleich ignoriert die Gross-/Kleinschreibung bei der Eintragskennung (wie durch bootctl list angezeigt). Hinzugefugt in Version 239. timeout Wie lange (in Sekunden) das Systemstartmenu angezeigt werden soll, bevor der Standardeintrag gestartet werden soll. Dies kann im Systemstartmenu selbst geandert und in einer EFI-Variablen gespeichert werden, womit diese Option ausser Kraft gesetzt wird. Falls auf >>menu-disabled<< oder >>menu-hidden<< oder >>0<< (die Vorgabe) (die Vorgabe) gesetzt, wird kein Menu angezeigt und der Standardeintrag sofort gestartet. Das Menu kann durch Drucken und Halten einer Taste, bevor Systemd-boot aufgerufen wird, angezeigt werden, ausser es wurde >>menu-disabled<< verwandt. Durch Setzen von >>menu-force<< wird die Zeituberschreitung deaktiviert und gleichzeitig das Menu immer angezeigt. Hinzugefugt in Version 239. console-mode Diese Option konfiguriert die Auflosung der Konsole. Dies kann im Systemstartmenu selbst geandert und in einer EFI-Variablen gespeichert werden, womit diese Option ausser Kraft gesetzt wird. Akzeptiert eine Zahl oder eine der nachfolgend aufgefuhrten besonderen Werte. Die folgenden Werte konnen benutzt werden: 0 Standard UEFI 80x25-Modus Hinzugefugt in Version 239. 1 80x50-Modus, nicht von allen Geraten unterstutzt Hinzugefugt in Version 239. 2 der erste von der Gerate-Firmware bereitgestellte Nichtstandardmodus, falls vorhanden Hinzugefugt in Version 239. auto wahlt mittels Heuristiken automatisch einen geeigneten Modus aus Hinzugefugt in Version 239. max wahlt den hochstnummerierten verfugbaren Modus aus Hinzugefugt in Version 239. keep behalt den von der Firmware ausgewahlten Modus bei (Vorgabe) Hinzugefugt in Version 239. Hinzugefugt in Version 239. editor Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert den Editor. Der Editor sollte deaktiviert werden, falls nicht berechtigte Personen Zugang zu der Maschine haben. Hinzugefugt in Version 239. auto-entries Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert Eintrage fur andere auf der Systemstartpartition gefundene Systemstarteintrage. Dies kann insbesondere nutzlich sein, wenn Ladeeintrage erstellt werden, um die Ersatzbeschreibungen fur diese Eintrage anzuzeigen. Hinzugefugt in Version 239. auto-firmware Ein logischer Wert, der das Vorhandensein des Eintrags >>Neustart in die Firmware-Schnittstelle<< steuert (standardmassig aktiviert). Falls dies deaktiviert ist, kann die Firmware-Schnittstelle weiterhin uber die Verwendung der f-Tasten erreicht werden. Hinzugefugt in Version 239. beep Akzeptiert ein logisches Argument. Falls die Zeiuberschreitung aktiviert ist, wird gepiept, andernfalls wird n Mal gepiept, wenn der n-te Eintrag des Systemstartmenus ausgewahlt wird (standardmassig deaktiviert). Derzeit wird nur X86 unterstutzt, wo der PC-Lautsprecher verwandt wird. Hinzugefugt in Version 251. secure-boot-enroll Gefahr: Diese Funktionalitat konnte ihr Gerate weich lahmlegen, falls sie inkorrekt verwandt wird. Steuert die Registrierung der auf dem ESP gefundenen sicheren Systemstartschlussel, falls das System sich im Einrichtungsmodus befindet: off Es erfolgt keine Aktion. Hinzugefugt in Version 253. manual Es werden Systemstarteintrage fur gefundene sichere Systemstartschlussel erstellt, die manuelle Registrierung ermoglichen. Hinzugefugt in Version 253. if-safe Das gleiche Verhalten wie manual, aber es wird versucht, den Schlussel >>auto<< zu registrieren, falls dieser als sicher betrachtet wird. Derzeit ist dies nur der Fall, wenn das System innerhalb einer virtuellen Maschine ausgefuhrt wird. Hinzugefugt in Version 253. force Registriert den Schlussel >>auto<< immer, wenn er gefunden wird. Beachten Sie, dass weiterhin eine Warnmeldung mit einer Zeituberschreitung angezeigt wird, falls unbekannt ist, ob diese Aktion sicher ist. Hinzugefugt in Version 253. Die verschiedenen Variablenmengen konnen unter /loader/keys/NAME eingerichtet werden, wobei NAME als Name des Eintrags verwandt wird. Dies ermoglicht die Auslieferung mehrerer Gruppen von Secure-Boot-Variablen und die Auswahl zur Laufzeit, welche registriert werden sollen. Die unterstutzten Secure-Boot-Variablen sind einer fur die Datenbank der authorisierten Abbilder, eine fur den Schlusselaustauschschlussel (KEK) und eine fur den Plattformschlussel (PK). Fur weitere Informationen lesen Sie bitte die UEFI-Spezifikation[2], unter >>Secure Boot and Driver Signing<<. Eine anderer Ressource, die das Zusammenwirken der verschiedenen Variablen beschreibt, ist die EDK2-Dokumentation[3]. Die vollstandige Menge der UEFI-Variablen enthalt db.auth, KEK.auth und PK.auth. Beachten Sie, dass diese Dateien authentifizierte UEFI-Variablen sein mussen. Sie finden weiter unten ein Beispiel, wie sie diese von regularen X.509-Schlusseln erstellen konnen. uuid=$(systemd-id128 new --uuid) for key in PK KEK db; do openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem" openssl x509 -outform DER -in "${key}.pem" -out "${key}.der" sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der" done # Siehe auch: Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlusseln[4] curl --location \ "https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \ "https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \ "https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \ "https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \ "https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \ "https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der sha1sum -c <>db.esl # Optional Microsoft UEFI-Zertifikate fur Firmware-Treiber / Options-ROMS hinzufugen # und Systemstartprogramme Dritter (einschliesslich shim). Dies wird auf echter Hardware # nachdrucklich empfohlen, da Sie ansonsten ihr System weich lahmlegen (siehe nachsten Absatz). cat ms-uefi-*.esl >>db.esl # Optional Microsoft KEK-Zertifikate hinzufugen. Empfohlen, falls einer der # Microsoft-Schlussel verwandt wird, da die offizielle UEFI-Widerrufsdatenbank mit diesem # Schlussel signiert ist. Die Wiederrufsdatenbank kann mit fwupdmgr(1) aktualisiert # werden. cat ms-kek-*.esl >>KEK.esl attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl Diese Funktionalitat wird als gefahrlich betrachtet, da selbst wenn alle benotigten Dateien mit den geladenen Schlusseln signiert wurden, einige fur den korrekten Betrieb des Systems benotigte Dateien dies nicht sind. Dies ist insbesondere fur Options-ROMS (z.B. fur Speicherkontroller oder Graphikkarten) der Fall. Siehe Sicherer Systemstart und Options-ROMs[5] fur weitere Details. Hinzugefugt in Version 252. reboot-for-bitlocker Warnung: Diese Funktionalitat ist experimentell und wird wahrscheinlich in zukunftigen Versionen von Systemd geandert (oder in seiner aktuellen Form entfernt). Umgeht die BitLocker-Anforderung bezuglich eines Wiederherstellungsschlussels, wenn das Systemstartprogramm aktualisiert wird (standardmassig deaktiviert). Versucht, BitLocker-verschlusselte Laufwerke zusammen mit einem aktiven TPM zu erkennen. Falls beide gefunden werden und >>Windows Boot Manager<< im Systemstartmenu ausgewahlt wird, wird die EFI-Variable >>BootNext<< gesetzt und das System neu gestartet. Die Firmware wird dann den Windows-Systemstart-Manager direkt starten und die TPM PCRs in den erwarteten Zustanden belassen, so dass Windows die Verschlusselungsschlussel entsiegeln kann. Dies ermoglicht es, systemd-boot(7) zu aktualisieren, ohne einen Wiederherstellungsschlussel fur das Entsperren von BitLocker-Laufwerken bereitzustellen. Beachten Sie, dass die von Windows verwandten PCRs mit der Gruppenrichtlinie >>Configure TPM platform validation profile for native UEFI firmware configurations<< unter >>Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption<< konfiguriert werden konnen. Wenn der sichere Systemstart aktiviert ist, sollte das Andern der PCRs >>0,2,7,11<< unproblematisch sein. Der TPM-Schlusselschutz muss entfernt und dann wieder hinzugefugt werden, damit die PCRs auf einem bereits verschlusselten Laufwerk geandert werden konnen. Falls PCR 4 nicht eingemessen wird, kann diese Einstellung deaktiviert werden, um das Starten in Windows zu beschleunigen. Hinzugefugt in Version 251. BEISPIEL # /boot/efi/loader/loader.conf timeout 0 default 01234567890abcdef1234567890abdf0-* editor no Das Menu wird standardmassig nicht angezeigt (das Menu kann weiterhin durch Drucken und Halten einer Taste wahrend des Systemstarts angezeigt werden). Einer der Eintrage mit Dateien mit einem Namen, der mit >>01234567890abcdef1234567890abdf0-<< beginnt, wird standardmassig ausgewahlt. Falls dies auf mehr als einen Eintrag zutrifft, wird der mit der hochsten Prioritat ausgewahlt (im Allgemeinen der mit der hochsten Versionsnummer). Der Editor wird deaktiviert, so dass es nicht moglich ist, die Kernelbefehlszeile zu verandern. SIEHE AUCH systemd-boot(7), bootctl(1) ANMERKUNGEN 1. Systemladerspezifikation https://uapi-group.org/specifications/specs/boot_loader_specification 2. UEFI-Spezifikation https://uefi.org/specifications 3. EDK2-Dokumentation https://edk2-docs.gitbook.io/understanding-the-uefi-secure-boot-chain/secure_boot_chain_in_uefi/uefi_secure_boot 4. Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlusseln https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11 5. Sicherer Systemstart und Options-ROMs https://github.com/Foxboron/sbctl/wiki/FAQ#option-rom UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 LOADER.CONF(5)