Provided by: manpages-de_4.21.0-2_all bug

BEZEICHNUNG

       loader.conf - Konfigurationsdatei für Systemd-boot

ÜBERSICHT

       ESP/loader/loader.conf, ESP/loader/entries/*.conf XBOOTLDR/loader/entries/*.conf

BESCHREIBUNG

       systemd-boot(7) wird ESP/loader/loader.conf und alle Dateien mit der Erweiterung ».conf«
       unterhalb von ESP/loader/entries/ auf der EFI-Systempartition (ESP) und
       XBOOTLDR/loader/entries/ auf der erweiterten Systemstartpartition (XBOOTLDR) auslesen, wie
       das in der Systemladerspezifikation[1] definiert ist.

       Jede dieser Konfigurationsdateien muss aus einer Reihe von durch Zeilenumbrüchen (d.h.
       ASCII-Code 10) getrennten Zeilen bestehen, wobei jede Zeile aus einem Optionsnamen,
       gefolgt von Leerraum und dem Optionswert, besteht. »#« kann zur Einleitung einer
       Kommentarzeile verwandt werden. Leere und Kommentarzeilen werden ignoriert. Die Dateien
       verwenden UTF-8-Kodierung.

       Logische Argumente können als »yes«/»y«/»true«/»t«/»on«/»1« oder
       »no«/»n«/»false«/»f«/»off«/»0« geschrieben werden.

OPTIONEN

       Die durch die Dateien ESP/loader/entries/*.conf und XBOOTLDR/loader/entries/*.conf
       verstandenen Konfigurationsoptionen sind als Teil der Systemladerspezifikation[1]
       spezifiziert.

       Die Konfigurationsdatei loader.conf versteht folgende Konfigurationsoptionen:

       default
           Ein Glob-Muster, um den Standardeintrag auszuwählen. Der Standardeintrag kann im
           Systemstartmenü selbst geändert werden, dann wird der Name des ausgewählten Eintrags
           in einer EFI-Variablen gespeichert und diese Option außer Kraft gesetzt.

           Falls auf »@saved« gesetzt, wird der ausgewählte Eintrag bei jedem Systemstart als
           EFI-Variable gesetzt und automatisch beim nächsten Mal, wenn das Systemstartprogramm
           startet, ausgewählt.

           Tabelle 1. Automatisch erkannte Einträge werden die folgenden Namen verwenden:
           ┌──────────────────────────────┬──────────────────────────┐
           │NameBeschreibung             │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-efi-default              │ EFI-Standardladeprogramm │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-efi-shell                │ EFI-Shell                │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-osx                      │ macOS                    │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-poweroff                 │ Power Off The System     │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-reboot                   │ Reboot The System        │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-reboot-to-firmware-setup │ Neustart in die          │
           │                              │ Firmware-Schnittstelle   │
           ├──────────────────────────────┼──────────────────────────┤
           │auto-windows                  │ Windows-Boot-Manager     │
           └──────────────────────────────┴──────────────────────────┘
           Es werden die Glob-Platzhalterzeichenmuster »?«, »*« und »[…]« (einschließlich
           Bereiche) unterstützt. Beachten Sie, dass diese Muster die gleiche Syntax wie glob(7)
           verwenden, aber nicht alle Funktionalitäten unterstützen. Insbesondere die Verneinung
           von Mengen und benannte Zeichenklassen werden nicht unterstützt. Der Vergleich
           ignoriert die Groß-/Kleinschreibung bei der Eintragskennung (wie durch bootctl list
           angezeigt).

           Hinzugefügt in Version 239.

       timeout
           Wie lange (in Sekunden) das Systemstartmenü angezeigt werden soll, bevor der
           Standardeintrag gestartet werden soll. Dies kann im Systemstartmenü selbst geändert
           und in einer EFI-Variablen gespeichert werden, womit diese Option außer Kraft gesetzt
           wird.

           Falls auf »menu-disabled« oder »menu-hidden« oder »0« (die Vorgabe) (die Vorgabe)
           gesetzt, wird kein Menü angezeigt und der Standardeintrag sofort gestartet. Das Menü
           kann durch Drücken und Halten einer Taste, bevor Systemd-boot aufgerufen wird,
           angezeigt werden, außer es wurde »menu-disabled« verwandt. Durch Setzen von
           »menu-force« wird die Zeitüberschreitung deaktiviert und gleichzeitig das Menü immer
           angezeigt.

           Hinzugefügt in Version 239.

       console-mode
           This option configures the resolution of the console. This may be changed in the boot
           menu itself and will be stored as an EFI variable in that case, overriding this
           option.

           Akzeptiert eine Zahl oder eine der nachfolgend aufgeführten besonderen Werte. Die
           folgenden Werte können benutzt werden:

           0
               Standard UEFI 80x25-Modus

               Hinzugefügt in Version 239.

           1
               80x50-Modus, nicht von allen Geräten unterstützt

               Hinzugefügt in Version 239.

           2
               der erste von der Geräte-Firmware bereitgestellte Nichtstandardmodus, falls
               vorhanden

               Hinzugefügt in Version 239.

           auto
               wählt mittels Heuristiken automatisch einen geeigneten Modus aus

               Hinzugefügt in Version 239.

           max
               wählt den höchstnummerierten verfügbaren Modus aus

               Hinzugefügt in Version 239.

           keep
               behält den von der Firmware ausgewählten Modus bei (Vorgabe)

               Hinzugefügt in Version 239.

           Hinzugefügt in Version 239.

       editor
           Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert den
           Editor. Der Editor sollte deaktiviert werden, falls nicht berechtigte Personen Zugang
           zu der Maschine haben.

           Hinzugefügt in Version 239.

       auto-entries
           Akzeptiert ein logisches Argument. Aktiviert (die Vorgabe) oder deaktiviert Einträge
           für andere auf der Systemstartpartition gefundene Systemstarteinträge. Dies kann
           insbesondere nützlich sein, wenn Ladeeinträge erstellt werden, um die
           Ersatzbeschreibungen für diese Einträge anzuzeigen.

           Hinzugefügt in Version 239.

       auto-firmware
           Ein logischer Wert, der das Vorhandensein des Eintrags »Neustart in die
           Firmware-Schnittstelle« steuert (standardmäßig aktiviert). Falls dies deaktiviert ist,
           kann die Firmware-Schnittstelle weiterhin über die Verwendung der f-Tasten erreicht
           werden.

           Hinzugefügt in Version 239.

       beep
           Akzeptiert ein logisches Argument. Falls die Zeiüberschreitung aktiviert ist, wird
           gepiept, andernfalls wird n Mal gepiept, wenn der n-te Eintrag des Systemstartmenüs
           ausgewählt wird (standardmäßig deaktiviert). Derzeit wird nur X86 unterstützt, wo der
           PC-Lautsprecher verwandt wird.

           Hinzugefügt in Version 251.

       secure-boot-enroll
           Gefahr: Diese Funktionalität könnte ihr Geräte weich lahmlegen, falls sie inkorrekt
           verwandt wird.

           Steuert die Registrierung der auf dem ESP gefundenen sicheren Systemstartschlüssel,
           falls das System sich im Einrichtungsmodus befindet:

           off
               Es erfolgt keine Aktion.

               Hinzugefügt in Version 253.

           manual
               Es werden Systemstarteinträge für gefundene sichere Systemstartschlüssel erstellt,
               die manuelle Registrierung ermöglichen.

               Hinzugefügt in Version 253.

           if-safe
               Das gleiche Verhalten wie manual, aber es wird versucht, den Schlüssel »auto« zu
               registrieren, falls dieser als sicher betrachtet wird. Derzeit ist dies nur der
               Fall, wenn das System innerhalb einer virtuellen Maschine ausgeführt wird.

               Hinzugefügt in Version 253.

           force
               Registriert den Schlüssel »auto« immer, wenn er gefunden wird. Beachten Sie, dass
               weiterhin eine Warnmeldung mit einer Zeitüberschreitung angezeigt wird, falls
               unbekannt ist, ob diese Aktion sicher ist.

               Hinzugefügt in Version 253.

           Die verschiedenen Variablenmengen können unter /loader/keys/NAME eingerichtet werden,
           wobei NAME als Name des Eintrags verwandt wird. Dies ermöglicht die Auslieferung
           mehrerer Gruppen von Secure-Boot-Variablen und die Auswahl zur Laufzeit, welche
           registriert werden sollen.

           Die unterstützten Secure-Boot-Variablen sind einer für die Datenbank der
           authorisierten Abbilder, eine für den Schlüsselaustauschschlüssel (KEK) und eine für
           den Plattformschlüssel (PK). Für weitere Informationen lesen Sie bitte die
           UEFI-Spezifikation[2], unter »Secure Boot and Driver Signing«. Eine anderer Ressource,
           die das Zusammenwirken der verschiedenen Variablen beschreibt, ist die
           EDK2-Dokumentation[3].

           Die vollständige Menge der UEFI-Variablen enthält db.auth, KEK.auth und PK.auth.
           Beachten Sie, dass diese Dateien authentifizierte UEFI-Variablen sein müssen. Sie
           finden weiter unten ein Beispiel, wie sie diese von regulären X.509-Schlüsseln
           erstellen können.

               uuid=$(systemd-id128 new --uuid)
               for key in PK KEK db; do
                 openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem"
                 openssl x509 -outform DER -in "${key}.pem" -out "${key}.der"
                 sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der"
               done

               # Siehe auch: Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlüsseln[4]
               curl --location \
                    "https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \
                    "https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \
                    "https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \
                    "https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \
                    "https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \
                    "https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der
               sha1sum -c <<END
               580a6f4cc4e4b669b9ebdc1b2b3e087b80d0678d  ms-db-2011.der
               31590bfd89c9d74ed087dfac66334b3931254b30  ms-kek-2011.der
               46def63b5ce61cf8ba0de2e6639c1019d0ed14f3  ms-uefi-db-2011.der
               45a0fa32604773c82433c3b7d59e7466b3ac0c67  ms-db-2023.der
               459ab6fb5e284d272d5e3e6abc8ed663829d632b  ms-kek-2023.der
               b5eeb4a6706048073f0ed296e7f580a790b59eaa  ms-uefi-db-2023.der
               END
               for key in ms-*.der; do
                 sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output "${key%der}esl" "${key}"
               done

               # Optional Microsoft Windows-Zertifikate hinzufügen (benötigt, um in Windows zu starten).
               cat ms-db-*.esl >>db.esl

               # Optional Microsoft UEFI-Zertifikate für Firmware-Treiber / Options-ROMS hinzufügen
               # und Systemstartprogramme Dritter (einschließlich shim). Dies wird auf echter Hardware
               # nachdrücklich empfohlen, da Sie ansonsten ihr System weich lahmlegen (siehe nächsten Absatz).
               cat ms-uefi-*.esl >>db.esl

               # Optional Microsoft KEK-Zertifikate hinzufügen. Empfohlen, falls einer der
               # Microsoft-Schlüssel verwandt wird, da die offizielle UEFI-Widerrufsdatenbank mit diesem
               # Schlüssel signiert ist. Die Wiederrufsdatenbank kann mit fwupdmgr(1) aktualisiert
               # werden.
               cat ms-kek-*.esl >>KEK.esl

               attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS
               sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl
               sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl
               sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl

           This feature is considered dangerous because even if all the required files are signed
           with the keys being loaded, some files necessary for the system to function properly
           still won't be. This is especially the case with Option ROMs (e.g. for storage
           controllers or graphics cards). See Secure Boot and Option ROMs[5] for more details.

           Hinzugefügt in Version 252.

       reboot-for-bitlocker
           Warnung: Diese Funktionalität ist experimentell und wird wahrscheinlich in zukünftigen
           Versionen von Systemd geändert (oder in seiner aktuellen Form entfernt).

           Umgeht die BitLocker-Anforderung bezüglich eines Wiederherstellungsschlüssels, wenn
           das Systemstartprogramm aktualisiert wird (standardmäßig deaktiviert).

           Versucht, BitLocker-verschlüsselte Laufwerke zusammen mit einem aktiven TPM zu
           erkennen. Falls beide gefunden werden und »Windows Boot Manager« im Systemstartmenü
           ausgewählt wird, wird die EFI-Variable »BootNext« gesetzt und das System neu
           gestartet. Die Firmware wird dann den Windows-Systemstart-Manager direkt starten und
           die TPM PCRs in den erwarteten Zuständen belassen, so dass Windows die
           Verschlüsselungsschlüssel entsiegeln kann. Dies ermöglicht es, systemd-boot(7) zu
           aktualisieren, ohne einen Wiederherstellungsschlüssel für das Entsperren von
           BitLocker-Laufwerken bereitzustellen.

           Beachten Sie, dass die von Windows verwandten PCRs mit der Gruppenrichtlinie
           »Configure TPM platform validation profile for native UEFI firmware configurations«
           unter »Computer Configuration\Administrative Templates\Windows Components\BitLocker
           Drive Encryption« konfiguriert werden können. Wenn der sichere Systemstart aktiviert
           ist, sollte das Ändern der PCRs »0,2,7,11« unproblematisch sein. Der
           TPM-Schlüsselschutz muss entfernt und dann wieder hinzugefügt werden, damit die PCRs
           auf einem bereits verschlüsselten Laufwerk geändert werden können. Falls PCR 4 nicht
           eingemessen wird, kann diese Einstellung deaktiviert werden, um das Starten in Windows
           zu beschleunigen.

           Hinzugefügt in Version 251.

BEISPIEL

           # /boot/efi/loader/loader.conf
           timeout 0
           default 01234567890abcdef1234567890abdf0-*
           editor no

       Das Menü wird standardmäßig nicht angezeigt (das Menü kann weiterhin durch Drücken und
       Halten einer Taste während des Systemstarts angezeigt werden). Einer der Einträge mit
       Dateien mit einem Namen, der mit »01234567890abcdef1234567890abdf0-« beginnt, wird
       standardmäßig ausgewählt. Falls dies auf mehr als einen Eintrag zutrifft, wird der mit der
       höchsten Priorität ausgewählt (im Allgemeinen der mit der höchsten Versionsnummer). Der
       Editor wird deaktiviert, so dass es nicht möglich ist, die Kernelbefehlszeile zu
       verändern.

SIEHE AUCH

       systemd-boot(7), bootctl(1)

ANMERKUNGEN

        1. Systemladerspezifikation
           https://uapi-group.org/specifications/specs/boot_loader_specification

        2. UEFI-Spezifikation
           https://uefi.org/specifications

        3. EDK2-Dokumentation
           https://edk2-docs.gitbook.io/understanding-the-uefi-secure-boot-chain/secure_boot_chain_in_uefi/uefi_secure_boot

        4. Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlüsseln
           https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11

        5. Sicherer Systemstart und Options-ROMs
           https://github.com/Foxboron/sbctl/wiki/FAQ#option-rom

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
       <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
       Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
       Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
       Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.