systemd-boot
systemd-boot(7),之前称为 **gummiboot** (德语意为“橡皮艇”),有时也称为 sd-boot,是一个易于配置的 UEFI 引导管理器。它提供了一个文本菜单来选择引导条目,以及一个内核命令行编辑器。
请注意,systemd-boot 只能从其安装到的 EFI 系统分区或同一磁盘上的扩展引导加载程序分区 (XBOOTLDR 分区) 启动 EFI 可执行文件 (例如 Linux 内核 EFI 引导存根、UEFI Shell、GRUB 或 Windows 引导管理器)。
支持的文件系统
systemd-boot 继承了 固件对文件系统的支持 (即至少 FAT12、FAT16 和 FAT32)。此外,它还会加载放置在 esp/EFI/systemd/drivers/ 中的任何 UEFI 驱动程序。
安装
systemd-boot 随 systemd 包一起提供,而 systemd 是 base 元软件包的依赖项,因此无需手动安装任何其他软件包。
安装 UEFI 引导管理器
要安装 systemd-boot,请先确保系统是以 UEFI 模式引导的,并且 UEFI 变量是可访问的。可以通过运行 efivar --list 来验证,或者,如果未安装 efivar,可以通过运行 ls /sys/firmware/efi/efivars 来验证 (如果目录存在,则表示系统正在 UEFI 模式下引导)。
使用 bootctl(1) 将 systemd-boot 安装到 ESP
# bootctl install
这将把 systemd-boot UEFI 引导管理器复制到 ESP,为其创建一个 UEFI 引导条目,并将其设置为 UEFI 引导顺序中的第一个。
- 在 x64 UEFI 上,
/usr/lib/systemd/boot/efi/systemd-bootx64.efi将被复制到esp/EFI/systemd/systemd-bootx64.efi和esp/EFI/BOOT/BOOTX64.EFI。 - 在 IA32 UEFI 上,
/usr/lib/systemd/boot/efi/systemd-bootia32.efi将被复制到esp/EFI/systemd/systemd-bootia32.efi和esp/EFI/BOOT/BOOTIA32.EFI。
UEFI 引导条目将命名为 "Linux Boot Manager",并指向 ESP 上的 \EFI\systemd\systemd-bootx64.efi 或 \EFI\systemd\systemd-bootia32.efi,具体取决于 UEFI 位数。
- 运行
bootctl install时,systemd-boot 将尝试在/efi、/boot和/boot/efi处定位 ESP。将esp设置为其他位置需要传递--esp-path=esp选项。(有关详细信息,请参阅 bootctl(1) § OPTIONS)。 - 安装 systemd-boot 将覆盖任何现有的
esp/EFI/BOOT/BOOTX64.EFI(或 IA32 UEFI 上的esp/EFI/BOOT/BOOTIA32.EFI),例如 Microsoft 的同名文件。 - bootctl 在 pid 命名空间中运行时,会避免操作 UEFI 变量/引导条目,而 arch-chroot(8) 的非 systemd 模式就属于这种情况。要在 chroot 环境中创建引导条目,请改用
arch-chroot -S。
要完成安装,请配置 systemd-boot。
使用 XBOOTLDR 安装
可以创建一个类型的“Linux extended boot”(XBOOTLDR) 的独立 /boot 分区,以将内核和 initramfs 与 ESP 分开。这对于 与 Windows 双引导且现有 ESP 太小时特别有用。
像平常一样准备一个 ESP,并在同一物理驱动器上为 XBOOTLDR 创建另一个分区。XBOOTLDR 分区必须具有分区类型 GUID bc13c2ff-59e6-4262-a352-b275fd6f7172 [1] (对于 gdisk 为 ea00 类型,对于 fdisk 为 xbootldr 类型)。XBOOTLDR 分区的大小应足够容纳您将要安装的所有内核。
- systemd-boot 不执行文件系统检查,就像对 ESP 所做的那样。因此,可以使用您的 UEFI 实现可以读取的任何文件系统。
- 当启用“快速启动”模式时,UEFI 可能会跳过加载 ESP 以外的分区。这可能导致 systemd-boot 无法在 XBOOTLDR 分区上找到条目;在这种情况下,请禁用“快速启动”模式。
- XBOOTLDR 分区必须与 ESP 位于同一物理磁盘上,systemd-boot 才能识别它。
安装过程中,将 ESP 挂载到 /mnt/efi,将 XBOOTLDR 分区挂载到 /mnt/boot。
进入 chroot 后,使用命令
# bootctl --esp-path=/efi --boot-path=/boot install
要完成安装,请配置 systemd-boot。
更新 UEFI 引导管理器
每当 systemd-boot 有新版本时,用户都可以选择重新安装 UEFI 引导管理器。这可以通过手动或自动方式完成;以下将介绍这两种方法。
手动更新
使用 bootctl 更新 systemd-boot
# bootctl update
bootctl install 一样,systemd-boot 将尝试在 /efi、/boot 或 /boot/efi 处定位 ESP。将 esp 设置为其他位置需要传递 --esp-path=esp 选项。自动更新
要自动更新 systemd-boot,可以使用 systemd 服务或 pacman hook。下面将介绍这两种方法。
systemd 服务
从版本 250 开始,systemd 附带了 systemd-boot-update.service。 启用此服务将导致 systemd-boot 在每次启动时运行以下命令
# bootctl --no-variables --graceful update
与 手动更新一样,这将尝试在 /efi、/boot 或 /boot/efi 处定位 ESP。如果 /usr/lib/systemd/boot/efi/ 中有更新的版本可用,该命令将更新 ESP 中所有已安装的 systemd-boot 版本。它将首先查找以 .efi.signed 结尾的 systemd-boot 文件,以便用户可以为 安全启动进行签名。
pacman hook
软件包 systemd-boot-pacman-hookAUR 添加了一个 pacman hook,该 hook 在每次 systemd 升级时执行。此 hook 与 systemd 服务方法不同,它只在 systemd 升级时尝试更新引导管理器,而不是每次启动时都更新,并且它会立即执行,而不是等待下次启动。
您可能希望将以下文件手动放置在 /etc/pacman.d/hooks/ 中,而不是安装 AUR 包
/etc/pacman.d/hooks/95-systemd-boot.hook
[Trigger] Type = Package Operation = Upgrade Target = systemd [Action] Description = Gracefully upgrading systemd-boot... When = PostTransaction Exec = /usr/bin/systemctl restart systemd-boot-update.service
为安全启动签名
如果您启用了 安全启动,您可能希望添加一个 pacman hook 来在每次升级软件包时自动签名引导管理器
/etc/pacman.d/hooks/80-secureboot.hook
[Trigger]
Operation = Install
Operation = Upgrade
Type = Path
Target = usr/lib/systemd/boot/efi/systemd-boot*.efi
[Action]
Description = Signing systemd-boot EFI binary for Secure Boot
When = PostTransaction
Exec = /bin/sh -c 'while read -r f; do /usr/lib/systemd/systemd-sbsign sign --private-key /path/to/keyfile.key --certificate /path/to/certificate.crt --output "${f}.signed" "$f"; done;'
Depends = sh
NeedsTargets
请将 /path/to/keyfile.key 和 /path/to/certificate.crt 替换为您自己的签名密钥和证书。为了更好地理解此 hook,请参考 systemd-sbsign(1)。
创建的 /usr/lib/systemd/boot/efi/systemd-boot*.efi.signed 将被 bootctl install 或 bootctl update 自动拾取。请参阅 bootctl(1) § SIGNED .EFI FILES。
作为替代方案,请使用 sbctl。
配置
bootctl (不带任何参数) 以确保 systemd-boot 能够正确解析它。引导器配置
引导器配置存储在文件 esp/loader/loader.conf 中。有关详细信息,请参阅 loader.conf(5) § OPTIONS。
下面提供了一个引导器配置示例
esp/loader/loader.conf
default arch.conf timeout 4 console-mode max editor no
default和timeout可以在引导菜单本身中更改,并且更改将作为 UEFI 变量LoaderEntryDefault和LoaderConfigTimeout存储,覆盖这些选项。- 可以使用
bootctl set-default ""和bootctl set-timeout ""分别清除覆盖default和timeout选项的 UEFI 变量。 - 如果设置了
timeout 0,可以通过按Space键来访问引导菜单。 - 基本的引导器配置文件位于
/usr/share/systemd/bootctl/loader.conf。 - 如果在条目选择过程中,引导管理器显示出现扭曲/分辨率错误,您可以尝试将
console-mode设置为auto(使用启发式方法选择最佳分辨率)、keep(保留固件提供的分辨率) 或2(尝试选择第一个非 UEFI 标准分辨率)。
记住上次选择的条目
可以将 default 更改为 @saved,以便在启动时记住上次选择的条目。这对于双引导 Windows 很有用,当 Windows 自动更新意外地将您推入 Linux 时。
esp/loader/loader.conf
default @saved ...
有关更多详细信息,请查阅 loader.conf(5)。
添加引导器
systemd-boot 将在它启动的 EFI 系统分区上查找 /loader/entries/ 目录下的 .conf 文件,以及同一磁盘上的 XBOOTLDR 分区。
esp/loader/entries/*.conf中的条目只能使用esp/中的文件 (例如内核、initramfs、镜像等),而boot/loader/entries/*.conf中的条目只能使用boot/中的文件。- 文件路径参数相对于您的 EFI 系统分区或 XBOOTLDR 分区的根目录。例如,如果您的 EFI 系统分区或 XBOOTLDR 分区挂载在
/boot,那么/boot/vmlinuz-linux文件必须在linux键中指定为/vmlinuz-linux。 - 当 安全启动处于活动状态时,带有嵌入式
.cmdline的 统一内核镜像 (UKI) 将忽略传递给它们的所有命令行选项 (无论是通过具有options的引导条目还是交互式地传递)。当安全启动不处于活动状态时,通过命令行传递的选项将覆盖嵌入的.cmdline。
以下是一个从卷引导 Arch 的加载器文件示例,使用其 UUID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx。
esp/loader/entries/arch.conf
title Arch Linux linux /vmlinuz-linux initrd /initramfs-linux.img options root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rw
esp/loader/entries/arch-fallback.conf
title Arch Linux (fallback initramfs) linux /vmlinuz-linux initrd /initramfs-linux-fallback.img options root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rw
有关所有配置选项的详细信息,请参阅 Boot Loader Specification。
systemd-boot 将自动在启动时检查 Windows Boot Manager (位于 /EFI/Microsoft/Boot/Bootmgfw.efi),Apple macOS Boot Manager (在固件中),UEFI Shell (/shellx64.efi) 和 EFI Default Loader (/EFI/BOOT/bootx64.efi),以及 /EFI/Linux/ 中找到的特殊准备的内核文件。检测到时,将自动生成相应的条目,标题分别为 auto-windows、auto-osx、auto-efi-shell 和 auto-efi-default。这些条目不需要手动加载器配置。但是,它不会自动检测其他 EFI 应用程序 (与 rEFInd 不同),因此对于引导 Linux 内核,必须创建手动配置条目。
initrd 中指定 /boot/amd-ucode.img 或 /boot/intel-ucode.img,并且始终将其放置在主 initramfs 镜像**之前**。UEFI Shell 或其他 EFI 应用程序
如果您使用 edk2-shell 包安装了 UEFI Shell,systemd-boot 将自动检测并创建一个新条目,前提是将 EFI 文件放在 esp/shellx64.efi。安装包后,一个示例命令是
# cp /usr/share/edk2-shell/x64/Shell.efi /boot/shellx64.efi
否则,如果您将 其他 EFI 应用程序安装到 ESP,您可以使用以下片段。
efi 行的文件路径参数相对于您的 EFI 系统分区的根目录。如果您的 EFI 系统分区挂载在 /boot,并且您的 EFI 二进制文件位于 /boot/EFI/xx.efi 和 /boot/yy.efi,那么您将分别指定参数为 efi /EFI/xx.efi 和 efi /yy.efi。esp/loader/entries/fwupd.conf
title Firmware updater efi /EFI/tools/fwupdx64.efi
esp/loader/entries/gdisk.conf
title GPT fdisk (gdisk) efi /EFI/tools/gdisk_x64.efi
Memtest86+
您需要安装 memtest86+-efi 才能使其工作。在使用安全启动时,也请签名 EFI 二进制文件。
esp/loader/entries/memtest.conf
title Memtest86+ efi /memtest86+/memtest.efi
Netboot
systemd-boot 可以链式加载 Netboot。下载 ipxe-arch.efi EFI 二进制文件和签名,验证它,并将其放置在 esp/EFI/arch_netboot/arch_netboot.efi 中,如建议的那样。
esp/loader/entries/arch_netboot.conf
title Arch Linux Netboot efi /EFI/arch_netboot/arch_netboot.efi
GRUB
systemd-boot 可以链式加载 GRUB。grubx64.efi 二进制文件的位置与 GRUB 安装到 ESP 时使用的 --bootloader-id= 相匹配。
esp/loader/entries/grub.conf
title GRUB efi /EFI/GRUB/grubx64.efi
从另一个磁盘引导
systemd-boot 无法从其启动的 ESP 或同一磁盘上的 XBOOTLDR 分区以外的分区启动 EFI 二进制文件,但它可以指示 UEFI Shell 来执行此操作。
首先,如上文所述,安装 edk2-shell。在 UEFI Shell 中,使用 map 命令记录具有相应 PARTUUID 的分区的 **FS 别名** (例如:HD0a66666a2、HD0b、FS1 或 BLK7)。
然后,使用 exit 命令引导回 Linux,您可以在那里创建一个新的加载器条目,通过 UEFI Shell 运行目标 EFI 程序。
esp/loader/entries/windows.conf
title Windows efi /shellx64.efi options -nointerrupt -nomap -noversion HD0b:EFI\Microsoft\Boot\Bootmgfw.efi
确保 efi 路径与 shellx64.efi 在 esp 分区中复制的位置匹配。另外,请注意 shellx64.efi EFI 文件可以移动到其他位置,以避免 systemd-boot 自动创建条目。
将 HD0b 替换为之前记录的 FS 别名。
-nointerrupt选项可防止使用Ctrl+c中断目标 EFI 程序。-nomap -noversion选项会隐藏默认的 UEFI Shell 问候语。- 要让 UEFI Shell 在目标 EFI 程序退出时 (例如由于错误) 自动返回引导管理器,请添加
-exit选项。 - 如果 UEFI Shell 中仍然有不必要的输出,您还可以添加
-noconsoleout选项。
启动到 UEFI 固件设置
如果您的设备的固件支持从操作系统重启到设置,systemd-boot 将自动添加一个条目以启动到 UEFI 固件设置。
带密码保护的内核参数编辑器
或者,您可以安装 systemd-boot-passwordAUR,它支持 password 基本配置选项。使用 sbpctl generate 为此选项生成一个值。
使用以下命令安装 systemd-boot-password
# sbpctl install esp
启用编辑器后,在您可以编辑内核参数之前,系统将提示您输入密码。
技巧与提示
引导菜单中的按键
您可以在菜单中按 t 和 T 来调整菜单超时时间,按 e 来编辑本次引导的内核参数。按 h 可以看到有用的快捷键列表。有关引导菜单中可用按键绑定的完整列表,请参阅 systemd-boot(7) § KEY BINDINGS。
选择下次引导
引导管理器与 systemctl 命令集成,允许您选择在重启后要引导的选项。例如,假设您构建了一个自定义内核并创建了一个条目文件 esp/loader/entries/arch-custom.conf 来引导它,您可以执行以下命令
$ systemctl reboot --boot-loader-entry=arch-custom.conf
您的系统将重启并引导到该条目,同时保持默认选项不变以供后续引导。要查看可能的条目列表,请传递 --boot-loader-entry=help 选项。
如果您想直接引导到主板的固件,您可以使用以下命令
$ systemctl reboot --firmware-setup
统一内核镜像 (UKI)
esp/EFI/Linux/ 中的 统一内核镜像 (UKI) 会被 systemd-boot 自动获取,并且不需要在 esp/loader/entries 中创建条目。(请注意,统一内核镜像必须具有 .efi 扩展名才能被 systemd-boot 识别)。
esp/loader/loader.conf 中未设置 default,则 esp/loader/entries/ 中的文件将首先被引导。删除这些条目,或者使用完整的文件名设置默认值,例如 default arch-linux.efiESP 上的 Grml
PKGBUILD 可用:grml-systemd-bootAUR。Grml 是一个小型 live 系统,包含用于系统管理和救援的软件集合。
为了在 ESP 上安装 Grml,我们只需要将 ISO 文件中的内核 vmlinuz、initramfs initrd.img 和 squashed 镜像 grml64-small.squashfs 复制到 ESP。为此,首先下载 grml64-small.iso 并挂载该文件 (挂载点今后称为 mnt);内核和 initramfs 位于 mnt/boot/grml64small/,squashed 镜像位于 mnt/live/grml64-small/。
接下来,在您的 ESP 中为 Grml 创建一个目录,
# mkdir -p esp/grml
并将上述文件复制到其中
# cp mnt/boot/grml64small/vmlinuz esp/grml # cp mnt/boot/grml64small/initrd.img esp/grml # cp mnt/live/grml64-small/grml64-small.squashfs esp/grml
最后一步是为 systemd-boot 创建一个引导条目:在 esp/loader/entries 中创建一个 grml.conf 文件,内容如下
esp/loader/entries/grml.conf
title Grml Live Linux linux /grml/vmlinuz initrd /grml/initrd.img options apm=power-off boot=live live-media-path=/grml/ nomce net.ifnames=0
有关可用引导选项的概述,请参阅 Grml 的 cheatcode。
ESP 上的 Archiso
PKGBUILD 可用:archiso-systemd-bootAUR。与 Grml 一样,可以使用 Arch Linux ISO。为此,我们需要将 ISO 文件中的内核 vmlinuz-linux、initramfs initramfs-linux.img 和 squashfs 镜像 airootfs.sfs 复制到 EFI 系统分区。
首先下载 archlinux-YYYY.MM.DD-x86_64.iso。
接下来,在您的 ESP 中为 archiso 创建一个目录
# mkdir -p esp/EFI/archiso
将 arch 目录中的内容解压到其中
# bsdtar -v -x --no-same-permissions --strip-components 1 -f archlinux-YYYY.MM.DD-x86_64.iso -C esp/EFI/archiso arch
最后一步是为 systemd-boot 创建引导条目:在 esp/loader/entries 中创建一个 arch-rescue.conf 文件,内容如下
esp/loader/entries/arch-rescue.conf
title Arch Linux (rescue system) linux /EFI/archiso/boot/x86_64/vmlinuz-linux initrd /EFI/archiso/boot/x86_64/initramfs-linux.img options archisobasedir=/EFI/archiso archisosearchfilename=/EFI/archiso/boot/x86_64/vmlinuz-linux
有关可用引导选项的概述,请参阅 mkinitcpio-archiso 的 README.bootparams。
安全启动上的 ESP 恢复 Arch 镜像
官方 Arch ISO 目前不支持 安全启动。因此,必须禁用安全启动才能引导到 ISO 进行恢复或维护。这会损害系统安全性,也不是理想的方法。
另一种方法是使用 mkosi 创建一个已签名的 统一内核镜像 (UKI),假设您的系统已正确配置并正常运行安全启动。这样您就可以引导到已签名的恢复 Arch 环境,而无需禁用安全启动或随身携带 Arch ISO U 盘。
https://swsnr.de/archlinux-rescue-image-with-mkosi/ 描述了如何设置支持安全启动的 Arch 恢复镜像。您可以在 https://codeberg.org/swsnr/rescue-image 找到一个可用的实用起点,其中包含一个健全的 mkosi 配置,您可以添加您的软件包。
BIOS 系统上的 systemd-boot
如果您需要一个遵循 The Boot Loader Specification 的 BIOS 系统引导加载程序,那么 systemd-boot 可以在 BIOS 系统上发挥作用。 Clover 引导加载程序支持从 BIOS 系统引导,并提供了一个模拟的 UEFI 环境。
故障排除
systemd-boot 未显示我的引导条目
这可能是由配置文件中的各种问题引起的,例如内核路径指定错误。要检查,请运行
# bootctl
在 BIOS 模式引导后安装
如果在 BIOS 模式下引导,您仍然可以安装 systemd-boot,但是此过程需要您告诉固件在启动时启动 systemd-boot 的 EFI 文件。
- 您有可用的 UEFI Shell 在其他地方。
- 您的固件界面提供了正确设置启动时需要加载的 EFI 文件的方法。
- 如果 UEFI 中没有设置其他条目,某些固件可能会使用默认的
esp/EFI/BOOT/BOOTX64.EFI。
如果可以做到,安装会更容易:进入您的 UEFI Shell 或固件配置界面,并将您机器的默认 EFI 文件更改为 esp/EFI/systemd/systemd-bootx64.efi。
使用 efibootmgr 手动创建条目
如果 bootctl install 命令失败,您可以使用 efibootmgr 手动创建 UEFI 引导条目。
# efibootmgr --create --disk /dev/sdX --part Y --loader '\EFI\systemd\systemd-bootx64.efi' --label "Linux Boot Manager" --unicode
其中 /dev/sdXY 是 EFI 系统分区。
\) 作为分隔符。从 Windows 使用 bcdedit 手动创建条目
如果出于任何原因需要从 Windows 创建 UEFI 引导条目,您可以在管理员命令提示符下使用以下命令。
> bcdedit /copy "{bootmgr}" /d "Linux Boot Manager"
> bcdedit /set "{guid}" path \EFI\systemd\systemd-bootx64.efi
将 guid 替换为第一个命令返回的 id。您也可以使用以下命令将其设置为默认条目:
> bcdedit /default "{guid}"
Windows 升级后菜单不显示
请参阅 UEFI#Windows changes boot order。
添加对 Windows BitLocker TPM 解锁的支持
要阻止 BitLocker 请求恢复密钥,请在 loader.conf 中添加以下内容:
esp/loader/loader.conf
reboot-for-bitlocker yes
这将设置 BootNext UEFI 变量,其中 Windows Boot Manager 将在 BitLocker 不需要恢复密钥的情况下加载。这是一个一次性更改,systemd-boot 仍然是默认的引导加载程序。如果 Windows 被自动检测到,则无需为其指定条目。
这是一个实验性功能,因此请务必查阅 loader.conf(5)。