Erwartet ein logisches Argument. Standardmäßig »yes«. Falls »no«, wird der Generator komplett deaktiviert. rd.systemd.verity= wird nur von der initialen RAM-Platte (Initrd) berücksichtigt, während systemd.verity= sowohl vom Hauptsystem als auch der Initrd berücksichtigt wird.

Akzeptiert einen Wurzel-Hash-Wert für das Wurzeldateisystem. Erwartet einen in hexadezimalen Zeichen formatierten Hash-Wert der geeigneten Länge (d.h. wahrscheinlich 256 Bit/64 Zeichen oder länger). Falls nicht mittels systemd.verity_root_data= und systemd.verity_root_hash= angegeben, werden der zu verwendende Hash und das Datengerät automatisch aus dem festgelegten Hash-Wert abgeleitet. Insbesondere wird das Daten-Partitionsgerät unter der GPT-Partitions-UUID, die von den ersten 128 Bit des Wurzel-Hashes abgeleitet wird, nachgeschaut, das Hash-Partitionsgerät wird unter der GPT-Partitions-UUID, die von den letzten 128 Bit des Wurzel-Hashes abgeleitet wird, nachgeschaut. Daher reicht es normalerweise, den Wurzel-Hash anzugeben, um von einem integritätsgeschützten Wurzeldateisystem zu starten, da Gerätepfade daraus automatisch bestimmt werden — so lange wie die Partitionstabelle korrekt eingerichtet ist.

Diese zwei Einstellungen akzeptieren Blockgerätepfade als Argumente und können dazu verwandt werden, explizit die Daten- und die Hash-Partition zu konfigurieren, die zur Einrichtung des Integritätsschutzes für das Wurzeldateisystem verwandt werden sollen. Falls nicht angegeben, werden diese Pfade automatisch aus dem Argument roothash= abgeleitet (siehe oben).

Akzeptiert eine Kommata-getrennte Liste von dm-verity-Optionen. Erwartet die folgenden Optionen: ignore-corruption, restart-on-corruption, ignore-zero-blocks, check-at-most-once, panic-on-corruption und root-hash-signature. Siehe veritysetup(8) für weitere Details.