Scroll to navigation

LOADER.CONF(5) loader.conf LOADER.CONF(5)

الاسم

loader.conf - ملف تهيئة لـ systemd-boot

موجز

ESP/loader/loader.conf

الوصف

يقرأ systemd-boot(7) ESP/loader/loader.conf. يهيئ هذا الملف ما إذا كانت القائمة تُعرض ولمدة عرضها، والخط، والصفير المسموع، وأنواع مدخلات القائمة المراد عرضها، والاختيار المبدئي، وبعض جوانب تسجيل Secure Boot ومعالجة البرامج الثابتة. انظر قائمة الخيارات المتاحة أدناه.

يستخدم الملف ترميز UTF-8 ويتكون من سلسلة من الأسطر مفصولة بـ "تغذية سطر" (أي رمز ASCII 10). تُتجاهل الأسطر الفارغة أو التي تبدأ بعلامة التعليق ("#"). تتكون الأسطر الأخرى من اسم خيار، متبوعًا بمسافة بيضاء، وقيمة الخيار.

يمكن كتابة الوسائط المنطقية كـ "yes"/"y"/"true"/"t"/"on"/"1" أو "no"/"n"/"false"/"f"/"off"/"0".

ملاحظة: يقرأ systemd-boot أيضًا ملفات إدخال محمل الإقلاع، النوع #1 (ESP/loader/entries/*.conf و XBOOTLDR/loader/entries/*.conf) والنوع #2 (ESP/EFI/Linux/*.uki و XBOOTLDR/EFI/Linux/*.uki). تُوصف هذه الملفات بواسطة مواصفات محمل الإقلاع[1].

ملاحظة: يتأثر سلوك systemd-boot أيضًا بمتغيرات EFI. يمكن تجاوز بعض الإعدادات المحددة في هذا الملف بواسطة تلك المتغيرات، على سبيل المثال مدخل قائمة الإقلاع المبدئي أو مهلات القائمة. انظر systemd-boot(7) للتفاصيل.

الخيارات

تُدعم التهيئات التالية في loader.conf:

default

نمط glob لاختيار المدخل المبدئي حسب المعرف، وهو اسم الملف بما في ذلك اللاحقة الحرفية ".conf". قد يُغير المدخل المبدئي في قائمة الإقلاع نفسها، وفي هذه الحالة سيُخزن اسم المدخل المختار كمتغير EFI، متجاوزًا هذا الخيار.

إذا ضُبط على "@saved"، سيُحفظ المدخل المختار كمتغير EFI عند كل إقلاع ويُختار آليًا في المرة التالية التي يبدأ فيها محمل الإقلاع.

جدول 1. ستستخدم المدخلات المكتشفة آليًا الأسماء التالية:

الاسم الوصف
auto-efi-default محمل الإقلاع المبدئي لـ EFI
auto-efi-shell صدفة EFI
auto-osx macOS
auto-poweroff إيقاف تشغيل النظام
auto-reboot إعادة تشغيل النظام
auto-reboot-to-firmware-setup إعادة التشغيل إلى واجهة البرامج الثابتة
auto-windows مدير إقلاع Windows

أنماط glob البدل المدعومة هي "؟"، "*"، و "[...]" (بما في ذلك النطاقات). لاحظ أن هذه الأنماط تستخدم نفس بناء الجملة مثل glob(7)، ولكنها لا تدعم جميع الميزات. على وجه الخصوص، لا يُدعم نفي المجموعة وفئات الأحرف المسماة. تُجرى المطابقة دون حساسية لحالة الأحرف على معرف المدخل (كما هو موضح بواسطة bootctl list).

أُضيف في الإصدار 239.

timeout

المدة التي يجب عرض قائمة الإقلاع فيها قبل إقلاع المدخل المبدئي، بالثواني. قد يُغير هذا في قائمة الإقلاع نفسها وسيُخزن كمتغير EFI في تلك الحالة، متجاوزًا هذا الخيار.

إذا ضُبط على "menu-disabled" أو "menu-hidden" أو "0" (المبدئي)، لا تُعرض أي قائمة ويُقلع المدخل المبدئي فورًا. ما لم يُستخدم "menu-disabled"، يمكن عرض القائمة بالضغط مع الاستمرار على مفتاح قبل تشغيل systemd-boot. ضبط هذا على "menu-force" يعطل المهلة مع عرض القائمة دائمًا.

أُضيف في الإصدار 239.

console-mode

يهيئ هذا الخيار دقة وحدة التحكم. قد يُغير هذا في قائمة الإقلاع نفسها وسيُخزن كمتغير EFI في تلك الحالة، متجاوزًا هذا الخيار.

يأخذ رقمًا أو إحدى القيم الخاصة المدرجة أدناه. يمكن استخدام القيم التالية:

0

وضع UEFI القياسي 80x25

أُضيف في الإصدار 239.

1

وضع 80x50، غير مدعوم من جميع الأجهزة

أُضيف في الإصدار 239.

2

أول وضع غير قياسي يوفره برنامج الجهاز الثابت، إن وجد

أُضيف في الإصدار 239.

auto

اختيار وضع مناسب آليًا باستخدام الاستدلالات

أُضيف في الإصدار 239.

max

اختيار الوضع المتاح ذي الرقم الأعلى

أُضيف في الإصدار 239.

keep

الاحتفاظ بالوضع الذي اختاره البرنامج الثابت (المبدئي)

أُضيف في الإصدار 239.

أُضيف في الإصدار 239.

editor

يأخذ وسيطًا منطقيًا. تمكين (المبدئي) أو تعطيل المحرر. يجب تعطيل المحرر إذا كان يمكن الوصول إلى الجهاز من قبل أشخاص غير مصرح لهم.

أُضيف في الإصدار 239.

auto-entries

يأخذ وسيطًا منطقيًا. تمكين (المبدئي) أو تعطيل الإدخالات للإدخالات الأخرى الموجودة على قسم الإقلاع. على وجه الخصوص، قد يكون هذا مفيدًا عند إنشاء إدخالات المحمل لعرض أوصاف بديلة لتلك الإدخالات.

أُضيف في الإصدار 239.

auto-firmware

قيمة منطقية تتحكم في وجود إدخال "إعادة التشغيل إلى واجهة البرنامج الثابت" (مفعلة مبدئيًا). إذا تم تعطيل هذا، يمكن الوصول إلى واجهة البرنامج الثابت باستخدام المفتاح f.

أُضيف في الإصدار 239.

auto-reboot

قيمة منطقية تتحكم في وجود إدخال "إعادة تشغيل النظام" (معطلة مبدئيًا). حتى إذا تم تعطيل هذا، يمكن إعادة تشغيل النظام بالضغط على Shift+b.

أُضيف في الإصدار 255.

auto-poweroff

قيمة منطقية تتحكم في وجود إدخال "إيقاف تشغيل النظام" (معطلة مبدئيًا). حتى إذا تم تعطيل هذا، يمكن إيقاف تشغيل النظام بالضغط على Shift+o.

أُضيف في الإصدار 255.

beep

يأخذ وسيطًا منطقيًا. إذا تم تمكين المهلة، يصدر صوت تنبيه كل ثانية، وإلا يصدر صوت تنبيه n مرة عند تحديد الإدخال n في قائمة الإقلاع (معطل مبدئيًا). حاليًا، يتم دعم x86 فقط، حيث يستخدم مكبر صوت الحاسب.

أُضيف في الإصدار 251.

secure-boot-enroll

خطر: قد تؤدي هذه الميزة إلى تعطيل جهازك برمجيًا إذا استُخدمت بشكل غير صحيح.

يتحكم في تسجيل مفاتيح الإقلاع الآمن الموجودة على ESP إذا كان النظام في وضع الإعداد:

off

لا يُتخذ أي إجراء.

أُضيف في الإصدار 253.

manual

تُنشأ إدخالات إقلاع للمفاتيح الموجودة للإقلاع الآمن تسمح بالتسجيل اليدوي.

أُضيف في الإصدار 253.

if-safe

نفس سلوك manual، لكنه يحاول آليًا تسجيل المفتاح "auto" إذا اعتُبر آمنًا. حاليًا، هذا هو الحال فقط إذا كان النظام يعمل داخل آلة افتراضية.

أُضيف في الإصدار 253.

force

تسجيل المفتاح "auto" دائمًا إذا وُجد. لاحظ أنه سيظل عرض رسالة تحذير مع مهلة إذا كانت هذه العملية غير معروفة بأنها آمنة.

أُضيف في الإصدار 253.

يمكن إعداد المجموعات المختلفة من المتغيرات تحت /loader/keys/NAME حيث NAME هو الاسم الذي سيُستخدم كاسم الإدخال. يسمح هذا بشحن مجموعات متعددة من متغيرات الإقلاع الآمن واختيار أي منها لتسجيله في وقت التشغيل.

المتغيرات المدعومة للإقلاع الآمن هي قاعدة بيانات واحدة للصور المصرح بها، وأخرى لمفتاح تبادل المفاتيح (KEK)، وثالثة لمفتاح المنصة (PK). لمزيد من المعلومات، يُرجى الرجوع إلى مواصفات UEFI[2]، تحت قسم الإقلاع الآمن وتوقيع برامج التشغيل. مصدر آخر يصف التفاعل بين المتغيرات المختلفة هو توثيق EDK2[3].

المجموعة الكاملة من متغيرات UEFI تتضمن db.auth وKEK.auth وPK.auth. لاحظ أن هذه الملفات يجب أن تكون متغيرات UEFI موثقة. انظر أدناه للحصول على مثال لكيفية إنشائها من مفاتيح X.509 العادية.

uuid=$(systemd-id128 new --uuid)
for key in PK KEK db; do

openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem"
openssl x509 -outform DER -in "${key}.pem" -out "${key}.der"
sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der" done # انظر أيضًا: Windows Secure Boot Key Creation and Management Guidance[4] curl --location \
"https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \
"https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der sha1sum -c <<END 580a6f4cc4e4b669b9ebdc1b2b3e087b80d0678d ms-db-2011.der 31590bfd89c9d74ed087dfac66334b3931254b30 ms-kek-2011.der 46def63b5ce61cf8ba0de2e6639c1019d0ed14f3 ms-uefi-db-2011.der 45a0fa32604773c82433c3b7d59e7466b3ac0c67 ms-db-2023.der 459ab6fb5e284d272d5e3e6abc8ed663829d632b ms-kek-2023.der b5eeb4a6706048073f0ed296e7f580a790b59eaa ms-uefi-db-2023.der END for key in ms-*.der; do
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output "${key%der}esl" "${key}" done # يمكنك إضافة شهادات مايكروسوفت ويندوز (اللازمة للتشغيل فيويندوز). cat ms-db-*.esl >>db.esl # يمكنك اختيارياً إضافة شهادات مايكروسوفت UEFI لبرامج تشغيل البرامج الثابتة / ROM الاختيارية ومحملات الإقلاع التابعة لجهات خارجية # (بما في ذلك shim). يوصى بشدة بذلك على الأجهزة الحقيقية، حيث إن عدم تضمين ذلك # قد يؤدي إلى تعطل جهازك (انظر الفقرة التالية). cat ms-uefi-*.esl >>db.esl # يمكن إضافة شهادات مايكروسوفت KEK. يُنصح بذلك في حالة استخدام أي من مفاتيح مايكروسوفت كـ # قاعدة بيانات الإلغاء الرسمية لـ UEFI موقعة بهذا المفتاح. يمكن تحديث قاعدة بيانات الإلغاء # باستخدام fwupdmgr(1). cat ms-kek-*.esl >>KEK.esl attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl

تُعتبر هذه الميزة خطيرة لأنه حتى إذا تم توقيع جميع الملفات المطلوبة بالمفاتيح التي يتم تحميلها، فإن بعض الملفات الضرورية لتشغيل النظام بشكل صحيح لن تكون كذلك. هذا هو الحال بشكل خاص مع خيارات ROMs (مثل وحدات تحكم التخزين أو بطاقات الرسوميات). انظر الإقلاع الآمن وخيارات ROMs[5] لمزيد من التفاصيل.

أُضيف في الإصدار 252.

reboot-for-bitlocker

ملاحظة: هذه الميزة تجريبية، ومن المحتمل أن يتم تغييرها (أو إزالتها في شكلها الحالي) في إصدار مستقبلي من systemd.

تجاوز طلب BitLocker لمفتاح الاسترداد عند تحديث محمل الإقلاع (معطل بشكل مبدئي).

حاول اكتشاف محركات الأقراص المشفرة بـ BitLocker مع TPM نشط. إذا تم العثور على كليهما وتم تحديد Windows Boot Manager في قائمة الإقلاع، فقم بتعيين متغير EFI "BootNext" وأعد تشغيل النظام. ستبدأ البرامج الثابتة بعد ذلك Windows Boot Manager مباشرة، تاركة PCRs الخاصة بـ TPM في الحالات المتوقعة حتى يتمكن Windows من فك ختم مفتاح التشفير. يسمح هذا بتحديث systemd-boot(7) دون الحاجة إلى توفير مفتاح الاسترداد لفتح محرك أقراص BitLocker.

لاحظ أن PCRs التي يستخدمها Windows يمكن تكوينها باستخدام نهج المجموعة "Configure TPM platform validation profile for native UEFI firmware configurations" ضمن "Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption". عند تمكين الإقلاع الآمن، يجب أن يكون تغيير هذا إلى PCRs "0,2,7,11" آمنًا. يجب إزالة حامي مفتاح TPM ثم إضافته مرة أخرى لتغيير PCRs على محرك أقراص مشفر بالفعل. إذا لم يتم قياس PCR 4، يمكن تعطيل هذا الإعداد لتسريع الإقلاع إلى Windows.

أُضيف في الإصدار 251.

مثال

# /boot/efi/loader/loader.conf
timeout 0
default 01234567890abcdef1234567890abdf0-*
editor no

لن تُعرض القائمة مبدئيًا (لا يزال من الممكن عرض القائمة بالضغط مع الاستمرار على مفتاح أثناء الإقلاع). سيتم اختيار أحد الإدخالات ذات الملفات التي يبدأ اسمها بـ "01234567890abcdef1234567890abdf0-" مبدئيًا. إذا تطابق أكثر من إدخال، يُختار الإدخال ذو الأولوية الأعلى (عادةً الإدخال ذو رقم الإصدار الأعلى). يُعطل المحرر، لذا لا يمكن تغيير سطر أوامر النواة.

انظر أيضًا

systemd-boot(7), bootctl(1)

ملاحظات

1.
توصيف محمل الإقلاع
2.
مواصفات UEFI
3.
توثيق EDK2
4.
دليل إنشاء وإدارة مفتاح الإقلاع الآمن لنظام Windows
5.
الإقلاع الآمن وذاكرات ROM الاختيارية

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 257.13