Provided by: manpages-de_4.27.0-1_all 
BEZEICHNUNG
loader.conf - Konfigurationsdatei für Systemd-boot
ÜBERSICHT
ESP/loader/loader.conf, ESP/loader/entries/*.conf XBOOTLDR/loader/entries/*.conf
BESCHREIBUNG
systemd-boot(7) wird ESP/loader/loader.conf und alle Dateien mit der Erweiterung ».conf« unterhalb von
ESP/loader/entries/ auf der EFI-Systempartition (ESP) und XBOOTLDR/loader/entries/ auf der erweiterten
Systemstartpartition (XBOOTLDR) auslesen, wie das in der Systemladerspezifikation[1] definiert ist.
Jede dieser Konfigurationsdateien muss aus einer Reihe von durch Zeilenumbrüchen (d.h. ASCII-Code 10)
getrennten Zeilen bestehen, wobei jede Zeile aus einem Optionsnamen, gefolgt von Leerraum und dem
Optionswert, besteht. »#« kann zur Einleitung einer Kommentarzeile verwandt werden. Leere und
Kommentarzeilen werden ignoriert. Die Dateien verwenden UTF-8-Kodierung.
Logische Argumente können als »yes«/»y«/»true«/»t«/»on«/»1« oder »no«/»n«/»false«/»f«/»off«/»0«
geschrieben werden.
OPTIONEN
Die durch die Dateien ESP/loader/entries/*.conf und XBOOTLDR/loader/entries/*.conf verstandenen
Konfigurationsoptionen sind als Teil der Systemladerspezifikation[1] spezifiziert.
Die Konfigurationsdatei loader.conf versteht folgende Konfigurationsoptionen:
default
Ein Glob-Muster, um den Standardeintrag auszuwählen. Der Standardeintrag kann im Systemstartmenü
selbst geändert werden, dann wird der Name des ausgewählten Eintrags in einer EFI-Variablen
gespeichert und diese Option außer Kraft gesetzt.
Falls auf »@saved« gesetzt, wird der ausgewählte Eintrag bei jedem Systemstart als EFI-Variable
gesetzt und automatisch beim nächsten Mal, wenn das Systemstartprogramm startet, ausgewählt.
Tabelle 1. Automatisch erkannte Einträge werden die folgenden Namen verwenden:
┌───────────────────────────────┬──────────────────────────┐
│ Name │ Beschreibung │
├───────────────────────────────┼──────────────────────────┤
│ auto-efi-default │ EFI-Standardladeprogramm │
├───────────────────────────────┼──────────────────────────┤
│ auto-efi-shell │ EFI-Shell │
├───────────────────────────────┼──────────────────────────┤
│ auto-osx │ macOS │
├───────────────────────────────┼──────────────────────────┤
│ auto-poweroff │ Ausschalten des Systems │
├───────────────────────────────┼──────────────────────────┤
│ auto-reboot │ Neustart des Systems │
├───────────────────────────────┼──────────────────────────┤
│ auto-reboot-to-firmware-setup │ Neustart in die │
│ │ Firmware-Schnittstelle │
├───────────────────────────────┼──────────────────────────┤
│ auto-windows │ Windows-Boot-Manager │
└───────────────────────────────┴──────────────────────────┘
Es werden die Glob-Platzhalterzeichenmuster »?«, »*« und »[…]« (einschließlich Bereiche) unterstützt.
Beachten Sie, dass diese Muster die gleiche Syntax wie glob(7) verwenden, aber nicht alle
Funktionalitäten unterstützen. Insbesondere die Verneinung von Mengen und benannte Zeichenklassen
werden nicht unterstützt. Der Vergleich ignoriert die Groß-/Kleinschreibung bei der Eintragskennung
(wie durch bootctl list angezeigt).
Hinzugefügt in Version 239.
timeout
Wie lange (in Sekunden) das Systemstartmenü angezeigt werden soll, bevor der Standardeintrag
gestartet werden soll. Dies kann im Systemstartmenü selbst geändert und in einer EFI-Variablen
gespeichert werden, womit diese Option außer Kraft gesetzt wird.
Falls auf »menu-disabled« oder »menu-hidden« oder »0« (die Vorgabe) (die Vorgabe) gesetzt, wird kein
Menü angezeigt und der Standardeintrag sofort gestartet. Das Menü kann durch Drücken und Halten einer
Taste, bevor Systemd-boot aufgerufen wird, angezeigt werden, außer es wurde »menu-disabled« verwandt.
Durch Setzen von »menu-force« wird die Zeitüberschreitung deaktiviert und gleichzeitig das Menü immer
angezeigt.
Hinzugefügt in Version 239.
console-mode
Diese Option konfiguriert die Auflösung der Konsole. Dies kann im Systemstartmenü selbst geändert und
in einer EFI-Variablen gespeichert werden, womit diese Option außer Kraft gesetzt wird.
Akzeptiert eine Zahl oder eine der nachfolgend aufgeführten besonderen Werte. Die folgenden Werte
können benutzt werden:
0
Standard UEFI 80x25-Modus
Hinzugefügt in Version 239.
1
80x50-Modus, nicht von allen Geräten unterstützt
Hinzugefügt in Version 239.
2
der erste von der Geräte-Firmware bereitgestellte Nichtstandardmodus, falls vorhanden
Hinzugefügt in Version 239.
auto
wählt mittels Heuristiken automatisch einen geeigneten Modus aus
Hinzugefügt in Version 239.
max
wählt den höchstnummerierten verfügbaren Modus aus
Hinzugefügt in Version 239.
keep
behält den von der Firmware ausgewählten Modus bei (Vorgabe)
Hinzugefügt in Version 239.
Hinzugefügt in Version 239.
editor
Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert den Editor. Der Editor
sollte deaktiviert werden, falls nicht berechtigte Personen Zugang zu der Maschine haben.
Hinzugefügt in Version 239.
auto-entries
Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert Einträge für andere auf
der Systemstartpartition gefundene Systemstarteinträge. Dies kann insbesondere nützlich sein, wenn
Ladeeinträge erstellt werden, um die Ersatzbeschreibungen für diese Einträge anzuzeigen.
Hinzugefügt in Version 239.
auto-firmware
Ein logischer Wert, der das Vorhandensein des Eintrags »Neustart in die Firmware-Schnittstelle«
steuert (standardmäßig aktiviert). Falls dies deaktiviert ist, kann die Firmware-Schnittstelle
weiterhin über die Verwendung der f-Tasten erreicht werden.
Hinzugefügt in Version 239.
beep
Akzeptiert ein logisches Argument. Falls die Zeiüberschreitung aktiviert ist, wird gepiept,
andernfalls wird n Mal gepiept, wenn der n-te Eintrag des Systemstartmenüs ausgewählt wird
(standardmäßig deaktiviert). Derzeit wird nur X86 unterstützt, wo der PC-Lautsprecher verwandt wird.
Hinzugefügt in Version 251.
secure-boot-enroll
Gefahr: Diese Funktionalität könnte ihr Geräte weich lahmlegen, falls sie inkorrekt verwandt wird.
Steuert die Registrierung der auf dem ESP gefundenen sicheren Systemstartschlüssel, falls das System
sich im Einrichtungsmodus befindet:
off
Es erfolgt keine Aktion.
Hinzugefügt in Version 253.
manual
Es werden Systemstarteinträge für gefundene sichere Systemstartschlüssel erstellt, die manuelle
Registrierung ermöglichen.
Hinzugefügt in Version 253.
if-safe
Das gleiche Verhalten wie manual, aber es wird versucht, den Schlüssel »auto« zu registrieren,
falls dieser als sicher betrachtet wird. Derzeit ist dies nur der Fall, wenn das System innerhalb
einer virtuellen Maschine ausgeführt wird.
Hinzugefügt in Version 253.
force
Registriert den Schlüssel »auto« immer, wenn er gefunden wird. Beachten Sie, dass weiterhin eine
Warnmeldung mit einer Zeitüberschreitung angezeigt wird, falls unbekannt ist, ob diese Aktion
sicher ist.
Hinzugefügt in Version 253.
Die verschiedenen Variablenmengen können unter /loader/keys/NAME eingerichtet werden, wobei NAME als
Name des Eintrags verwandt wird. Dies ermöglicht die Auslieferung mehrerer Gruppen von
Secure-Boot-Variablen und die Auswahl zur Laufzeit, welche registriert werden sollen.
Die unterstützten Secure-Boot-Variablen sind einer für die Datenbank der authorisierten Abbilder,
eine für den Schlüsselaustauschschlüssel (KEK) und eine für den Plattformschlüssel (PK). Für weitere
Informationen lesen Sie bitte die UEFI-Spezifikation[2], unter »Secure Boot and Driver Signing«. Eine
anderer Ressource, die das Zusammenwirken der verschiedenen Variablen beschreibt, ist die
EDK2-Dokumentation[3].
Die vollständige Menge der UEFI-Variablen enthält db.auth, KEK.auth und PK.auth. Beachten Sie, dass
diese Dateien authentifizierte UEFI-Variablen sein müssen. Sie finden weiter unten ein Beispiel, wie
sie diese von regulären X.509-Schlüsseln erstellen können.
uuid=$(systemd-id128 new --uuid)
for key in PK KEK db; do
openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem"
openssl x509 -outform DER -in "${key}.pem" -out "${key}.der"
sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der"
done
# Siehe auch: Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlüsseln[4]
curl --location \
"https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der
sha1sum -c <<END
580a6f4cc4e4b669b9ebdc1b2b3e087b80d0678d ms-db-2011.der
31590bfd89c9d74ed087dfac66334b3931254b30 ms-kek-2011.der
46def63b5ce61cf8ba0de2e6639c1019d0ed14f3 ms-uefi-db-2011.der
45a0fa32604773c82433c3b7d59e7466b3ac0c67 ms-db-2023.der
459ab6fb5e284d272d5e3e6abc8ed663829d632b ms-kek-2023.der
b5eeb4a6706048073f0ed296e7f580a790b59eaa ms-uefi-db-2023.der
END
for key in ms-*.der; do
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output "${key%der}esl" "${key}"
done
# Optional Microsoft Windows-Zertifikate hinzufügen (benötigt, um in Windows zu starten).
cat ms-db-*.esl >>db.esl
# Optional Microsoft UEFI-Zertifikate für Firmware-Treiber / Options-ROMS hinzufügen
# und Systemstartprogramme Dritter (einschließlich shim). Dies wird auf echter Hardware
# nachdrücklich empfohlen, da Sie ansonsten ihr System weich lahmlegen (siehe nächsten Absatz).
cat ms-uefi-*.esl >>db.esl
# Optional Microsoft KEK-Zertifikate hinzufügen. Empfohlen, falls einer der
# Microsoft-Schlüssel verwandt wird, da die offizielle UEFI-Widerrufsdatenbank mit diesem
# Schlüssel signiert ist. Die Wiederrufsdatenbank kann mit fwupdmgr(1) aktualisiert
# werden.
cat ms-kek-*.esl >>KEK.esl
attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS
sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl
sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl
sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl
Diese Funktionalität wird als gefährlich betrachtet, da selbst wenn alle benötigten Dateien mit den
geladenen Schlüsseln signiert wurden, einige für den korrekten Betrieb des Systems benötigte Dateien
dies nicht sind. Dies ist insbesondere für Options-ROMS (z.B. für Speicherkontroller oder
Graphikkarten) der Fall. Siehe Sicherer Systemstart und Options-ROMs[5] für weitere Details.
Hinzugefügt in Version 252.
reboot-for-bitlocker
Warnung: Diese Funktionalität ist experimentell und wird wahrscheinlich in zukünftigen Versionen von
Systemd geändert (oder in seiner aktuellen Form entfernt).
Umgeht die BitLocker-Anforderung bezüglich eines Wiederherstellungsschlüssels, wenn das
Systemstartprogramm aktualisiert wird (standardmäßig deaktiviert).
Versucht, BitLocker-verschlüsselte Laufwerke zusammen mit einem aktiven TPM zu erkennen. Falls beide
gefunden werden und »Windows Boot Manager« im Systemstartmenü ausgewählt wird, wird die EFI-Variable
»BootNext« gesetzt und das System neu gestartet. Die Firmware wird dann den
Windows-Systemstart-Manager direkt starten und die TPM PCRs in den erwarteten Zuständen belassen, so
dass Windows die Verschlüsselungsschlüssel entsiegeln kann. Dies ermöglicht es, systemd-boot(7) zu
aktualisieren, ohne einen Wiederherstellungsschlüssel für das Entsperren von BitLocker-Laufwerken
bereitzustellen.
Beachten Sie, dass die von Windows verwandten PCRs mit der Gruppenrichtlinie »Configure TPM platform
validation profile for native UEFI firmware configurations« unter »Computer
Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption« konfiguriert
werden können. Wenn der sichere Systemstart aktiviert ist, sollte das Ändern der PCRs »0,2,7,11«
unproblematisch sein. Der TPM-Schlüsselschutz muss entfernt und dann wieder hinzugefügt werden, damit
die PCRs auf einem bereits verschlüsselten Laufwerk geändert werden können. Falls PCR 4 nicht
eingemessen wird, kann diese Einstellung deaktiviert werden, um das Starten in Windows zu
beschleunigen.
Hinzugefügt in Version 251.
BEISPIEL
# /boot/efi/loader/loader.conf
timeout 0
default 01234567890abcdef1234567890abdf0-*
editor no
Das Menü wird standardmäßig nicht angezeigt (das Menü kann weiterhin durch Drücken und Halten einer Taste
während des Systemstarts angezeigt werden). Einer der Einträge mit Dateien mit einem Namen, der mit
»01234567890abcdef1234567890abdf0-« beginnt, wird standardmäßig ausgewählt. Falls dies auf mehr als einen
Eintrag zutrifft, wird der mit der höchsten Priorität ausgewählt (im Allgemeinen der mit der höchsten
Versionsnummer). Der Editor wird deaktiviert, so dass es nicht möglich ist, die Kernelbefehlszeile zu
verändern.
SIEHE AUCH
systemd-boot(7), bootctl(1)
ANMERKUNGEN
1. Systemladerspezifikation
https://uapi-group.org/specifications/specs/boot_loader_specification
2. UEFI-Spezifikation
https://uefi.org/specifications
3. EDK2-Dokumentation
https://edk2-docs.gitbook.io/understanding-the-uefi-secure-boot-chain/secure_boot_chain_in_uefi/uefi_secure_boot
4. Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlüsseln
https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
5. Sicherer Systemstart und Options-ROMs
https://github.com/Foxboron/sbctl/wiki/FAQ#option-rom
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.
systemd 257.6 LOADER.CONF(5)