- trixie-backports 4.31.0-1~bpo13+1
- testing 4.31.0-1
- unstable 4.31.0-1
| LOADER.CONF(5) | loader.conf | LOADER.CONF(5) |
الاسم¶
loader.conf - ملف تهيئة لـ systemd-boot
موجز¶
ESP/loader/loader.conf
الوصف¶
يقرأ systemd-boot(7) ESP/loader/loader.conf. يهيئ هذا الملف ما إذا كانت القائمة تُعرض ولمدة عرضها، والخط، والصفير المسموع، وأنواع مدخلات القائمة المراد عرضها، والاختيار المبدئي، وبعض جوانب تسجيل Secure Boot ومعالجة البرامج الثابتة. انظر قائمة الخيارات المتاحة أدناه.
يستخدم الملف ترميز UTF-8 ويتكون من سلسلة من الأسطر مفصولة بـ "تغذية سطر" (أي رمز ASCII 10). تُتجاهل الأسطر الفارغة أو التي تبدأ بعلامة التعليق ("#"). تتكون الأسطر الأخرى من اسم خيار، متبوعًا بمسافة بيضاء، وقيمة الخيار.
يمكن كتابة الوسائط المنطقية كـ "yes"/"y"/"true"/"t"/"on"/"1" أو "no"/"n"/"false"/"f"/"off"/"0".
ملاحظة: يقرأ systemd-boot أيضًا ملفات إدخال محمل الإقلاع، النوع #1 (ESP/loader/entries/*.conf و XBOOTLDR/loader/entries/*.conf) والنوع #2 (ESP/EFI/Linux/*.uki و XBOOTLDR/EFI/Linux/*.uki). تُوصف هذه الملفات بواسطة مواصفات محمل الإقلاع[1].
ملاحظة: يتأثر سلوك systemd-boot أيضًا بمتغيرات EFI. يمكن تجاوز بعض الإعدادات المحددة في هذا الملف بواسطة تلك المتغيرات، على سبيل المثال مدخل قائمة الإقلاع المبدئي أو مهلات القائمة. انظر systemd-boot(7) للتفاصيل.
الخيارات¶
تُدعم التهيئات التالية في loader.conf:
default
إذا ضُبط على "@saved"، سيُحفظ المدخل المختار كمتغير EFI عند كل إقلاع ويُختار آليًا في المرة التالية التي يبدأ فيها محمل الإقلاع.
جدول 1. ستستخدم
المدخلات
المكتشفة
آليًا
الأسماء
التالية:
| الاسم | الوصف |
| auto-efi-default | محمل الإقلاع المبدئي لـ EFI |
| auto-efi-shell | صدفة EFI |
| auto-osx | macOS |
| auto-poweroff | إيقاف تشغيل النظام |
| auto-reboot | إعادة تشغيل النظام |
| auto-reboot-to-firmware-setup | إعادة التشغيل إلى واجهة البرامج الثابتة |
| auto-windows | مدير إقلاع Windows |
أنماط glob البدل المدعومة هي "؟"، "*"، و "[...]" (بما في ذلك النطاقات). لاحظ أن هذه الأنماط تستخدم نفس بناء الجملة مثل glob(7)، ولكنها لا تدعم جميع الميزات. على وجه الخصوص، لا يُدعم نفي المجموعة وفئات الأحرف المسماة. تُجرى المطابقة دون حساسية لحالة الأحرف على معرف المدخل (كما هو موضح بواسطة bootctl list).
أُضيف في الإصدار 239.
timeout
إذا ضُبط على "menu-disabled" أو "menu-hidden" أو "0" (المبدئي)، لا تُعرض أي قائمة ويُقلع المدخل المبدئي فورًا. ما لم يُستخدم "menu-disabled"، يمكن عرض القائمة بالضغط مع الاستمرار على مفتاح قبل تشغيل systemd-boot. ضبط هذا على "menu-force" يعطل المهلة مع عرض القائمة دائمًا.
أُضيف في الإصدار 239.
console-mode
يأخذ رقمًا أو إحدى القيم الخاصة المدرجة أدناه. يمكن استخدام القيم التالية:
0
أُضيف في الإصدار 239.
1
أُضيف في الإصدار 239.
2
أُضيف في الإصدار 239.
auto
أُضيف في الإصدار 239.
max
أُضيف في الإصدار 239.
keep
أُضيف في الإصدار 239.
أُضيف في الإصدار 239.
editor
أُضيف في الإصدار 239.
auto-entries
أُضيف في الإصدار 239.
auto-firmware
أُضيف في الإصدار 239.
auto-reboot
أُضيف في الإصدار 255.
auto-poweroff
أُضيف في الإصدار 255.
beep
أُضيف في الإصدار 251.
secure-boot-enroll
يتحكم في تسجيل مفاتيح الإقلاع الآمن الموجودة على ESP إذا كان النظام في وضع الإعداد:
off
أُضيف في الإصدار 253.
manual
أُضيف في الإصدار 253.
if-safe
أُضيف في الإصدار 253.
force
أُضيف في الإصدار 253.
يمكن إعداد المجموعات المختلفة من المتغيرات تحت /loader/keys/NAME حيث NAME هو الاسم الذي سيُستخدم كاسم الإدخال. يسمح هذا بشحن مجموعات متعددة من متغيرات الإقلاع الآمن واختيار أي منها لتسجيله في وقت التشغيل.
المتغيرات المدعومة للإقلاع الآمن هي قاعدة بيانات واحدة للصور المصرح بها، وأخرى لمفتاح تبادل المفاتيح (KEK)، وثالثة لمفتاح المنصة (PK). لمزيد من المعلومات، يُرجى الرجوع إلى مواصفات UEFI[2]، تحت قسم الإقلاع الآمن وتوقيع برامج التشغيل. مصدر آخر يصف التفاعل بين المتغيرات المختلفة هو توثيق EDK2[3].
المجموعة الكاملة من متغيرات UEFI تتضمن db.auth وKEK.auth وPK.auth. لاحظ أن هذه الملفات يجب أن تكون متغيرات UEFI موثقة. انظر أدناه للحصول على مثال لكيفية إنشائها من مفاتيح X.509 العادية.
uuid=$(systemd-id128 new --uuid) for key in PK KEK db; do
openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem"
openssl x509 -outform DER -in "${key}.pem" -out "${key}.der"
sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der" done # انظر أيضًا: Windows Secure Boot Key Creation and Management Guidance[4] curl --location \
"https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der sha1sum -c <<END 580a6f4cc4e4b669b9ebdc1b2b3e087b80d0678d ms-db-2011.der 31590bfd89c9d74ed087dfac66334b3931254b30 ms-kek-2011.der 46def63b5ce61cf8ba0de2e6639c1019d0ed14f3 ms-uefi-db-2011.der 45a0fa32604773c82433c3b7d59e7466b3ac0c67 ms-db-2023.der 459ab6fb5e284d272d5e3e6abc8ed663829d632b ms-kek-2023.der b5eeb4a6706048073f0ed296e7f580a790b59eaa ms-uefi-db-2023.der END for key in ms-*.der; do
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output "${key%der}esl" "${key}" done # يمكنك إضافة شهادات مايكروسوفت ويندوز (اللازمة للتشغيل فيويندوز). cat ms-db-*.esl >>db.esl # يمكنك اختيارياً إضافة شهادات مايكروسوفت UEFI لبرامج تشغيل البرامج الثابتة / ROM الاختيارية ومحملات الإقلاع التابعة لجهات خارجية # (بما في ذلك shim). يوصى بشدة بذلك على الأجهزة الحقيقية، حيث إن عدم تضمين ذلك # قد يؤدي إلى تعطل جهازك (انظر الفقرة التالية). cat ms-uefi-*.esl >>db.esl # يمكن إضافة شهادات مايكروسوفت KEK. يُنصح بذلك في حالة استخدام أي من مفاتيح مايكروسوفت كـ # قاعدة بيانات الإلغاء الرسمية لـ UEFI موقعة بهذا المفتاح. يمكن تحديث قاعدة بيانات الإلغاء # باستخدام fwupdmgr(1). cat ms-kek-*.esl >>KEK.esl attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl
تُعتبر هذه الميزة خطيرة لأنه حتى إذا تم توقيع جميع الملفات المطلوبة بالمفاتيح التي يتم تحميلها، فإن بعض الملفات الضرورية لتشغيل النظام بشكل صحيح لن تكون كذلك. هذا هو الحال بشكل خاص مع خيارات ROMs (مثل وحدات تحكم التخزين أو بطاقات الرسوميات). انظر الإقلاع الآمن وخيارات ROMs[5] لمزيد من التفاصيل.
أُضيف في الإصدار 252.
reboot-for-bitlocker
تجاوز طلب BitLocker لمفتاح الاسترداد عند تحديث محمل الإقلاع (معطل بشكل مبدئي).
حاول اكتشاف محركات الأقراص المشفرة بـ BitLocker مع TPM نشط. إذا تم العثور على كليهما وتم تحديد Windows Boot Manager في قائمة الإقلاع، فقم بتعيين متغير EFI "BootNext" وأعد تشغيل النظام. ستبدأ البرامج الثابتة بعد ذلك Windows Boot Manager مباشرة، تاركة PCRs الخاصة بـ TPM في الحالات المتوقعة حتى يتمكن Windows من فك ختم مفتاح التشفير. يسمح هذا بتحديث systemd-boot(7) دون الحاجة إلى توفير مفتاح الاسترداد لفتح محرك أقراص BitLocker.
لاحظ أن PCRs التي يستخدمها Windows يمكن تكوينها باستخدام نهج المجموعة "Configure TPM platform validation profile for native UEFI firmware configurations" ضمن "Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption". عند تمكين الإقلاع الآمن، يجب أن يكون تغيير هذا إلى PCRs "0,2,7,11" آمنًا. يجب إزالة حامي مفتاح TPM ثم إضافته مرة أخرى لتغيير PCRs على محرك أقراص مشفر بالفعل. إذا لم يتم قياس PCR 4، يمكن تعطيل هذا الإعداد لتسريع الإقلاع إلى Windows.
أُضيف في الإصدار 251.
مثال¶
# /boot/efi/loader/loader.conf timeout 0 default 01234567890abcdef1234567890abdf0-* editor no
لن تُعرض القائمة مبدئيًا (لا يزال من الممكن عرض القائمة بالضغط مع الاستمرار على مفتاح أثناء الإقلاع). سيتم اختيار أحد الإدخالات ذات الملفات التي يبدأ اسمها بـ "01234567890abcdef1234567890abdf0-" مبدئيًا. إذا تطابق أكثر من إدخال، يُختار الإدخال ذو الأولوية الأعلى (عادةً الإدخال ذو رقم الإصدار الأعلى). يُعطل المحرر، لذا لا يمكن تغيير سطر أوامر النواة.
انظر أيضًا¶
ملاحظات¶
- 1.
- توصيف محمل الإقلاع
- 2.
- مواصفات UEFI
- 3.
- توثيق EDK2
- 4.
- دليل إنشاء وإدارة مفتاح الإقلاع الآمن لنظام Windows
- 5.
- الإقلاع الآمن وذاكرات ROM الاختيارية
ترجمة¶
تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>
هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.
إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.
| systemd 257.13 |