systemd-boot
systemd-boot(7),以前称为 **gummiboot**(德语意为“橡皮艇”),有时也称为 *sd-boot*,是一个易于配置的 UEFI 引导管理器。它提供了一个文本菜单来选择引导条目,并提供一个内核命令行编辑器。
请注意,*systemd-boot* 只能从其安装的 EFI 系统分区或同一磁盘上的扩展引导加载程序分区(XBOOTLDR 分区)启动 EFI 可执行文件(例如 Linux 内核 EFI 引导存根、UEFI Shell、GRUB 或 Windows 引导管理器)。
支持的文件系统
systemd-boot 从 固件继承了文件系统的支持(即至少 FAT12、FAT16 和 FAT32)。此外,它还会加载放置在 esp/EFI/systemd/drivers/ 中的所有 UEFI 驱动程序。
安装
systemd-boot 随 systemd 包一起提供,该包是 base 元包的依赖项,因此无需手动安装其他包。
安装 UEFI 引导管理器
要安装 *systemd-boot*,首先请确保系统是以 UEFI 模式引导并且 UEFI 变量可访问。可以通过运行 efivar --list 来验证,或者,如果未安装 efivar,则通过运行 ls /sys/firmware/efi/efivars 来验证(如果目录存在,则表示系统正在 UEFI 模式下引导)。
使用 bootctl(1) 将 *systemd-boot* 安装到 ESP
# bootctl install
这将把 *systemd-boot* UEFI 引导管理器复制到 ESP,为其创建一个 UEFI 引导条目,并将其设置为 UEFI 引导顺序中的第一个。
- 在 x64 UEFI 上,
/usr/lib/systemd/boot/efi/systemd-bootx64.efi将被复制到esp/EFI/systemd/systemd-bootx64.efi和esp/EFI/BOOT/BOOTX64.EFI。 - 在 IA32 UEFI 上,
/usr/lib/systemd/boot/efi/systemd-bootia32.efi将被复制到esp/EFI/systemd/systemd-bootia32.efi和esp/EFI/BOOT/BOOTIA32.EFI。
UEFI 引导条目将命名为“Linux Boot Manager”,并指向 ESP 上的 \EFI\systemd\systemd-bootx64.efi 或 \EFI\systemd\systemd-bootia32.efi(取决于 UEFI 位深度)。
- 运行时
bootctl install,*systemd-boot* 会尝试在/efi、/boot和/boot/efi查找 ESP。将esp设置为其他位置需要传递--esp-path=esp选项。(有关详细信息,请参阅 bootctl(1) § OPTIONS。) - 安装 *systemd-boot* 会覆盖任何现有的
esp/EFI/BOOT/BOOTX64.EFI(或 IA32 UEFI 上的esp/EFI/BOOT/BOOTIA32.EFI),例如 Microsoft 的文件版本。 - *bootctl* 在 pid 命名空间下运行时会避免操作 UEFI 变量/引导条目,这对于 arch-chroot(8) 的非 systemd 模式是如此。要在 chroot 环境中创建引导条目,请改用
arch-chroot -S。
要完成安装,请 配置 *systemd-boot*。
使用 XBOOTLDR 安装
可以创建一个单独的“Linux extended boot”(XBOOTLDR)类型的 /boot 分区,以便将内核和 initramfs 与 ESP 分开。这对于 与 Windows 双引导并有一个现有 ESP 但空间不足的情况特别有用。
像往常一样准备一个 ESP,并在同一物理驱动器上为 XBOOTLDR 创建另一个分区。XBOOTLDR 分区必须具有分区类型 GUID bc13c2ff-59e6-4262-a352-b275fd6f7172 [1](对于 gdisk 为 ea00 类型,对于 fdisk 为 xbootldr 类型)。XBOOTLDR 分区的大小应足够容纳您将要安装的所有内核。
- systemd-boot 不会像对 ESP 那样进行文件系统检查。因此,可以使用您的 UEFI 实现可以读取的任何文件系统。
- 当启用“快速启动”模式时,UEFI 可能会跳过加载 ESP 以外的分区。这可能导致 *systemd-boot* 无法在 XBOOTLDR 分区上找到条目;在这种情况下,请禁用“快速启动”模式。
- XBOOTLDR 分区必须与 ESP 位于同一物理磁盘上,*systemd-boot* 才能识别它。
在安装过程中,将 ESP 挂载到 /mnt/efi,并将 XBOOTLDR 分区挂载到 /mnt/boot。
进入 chroot 后,使用以下命令
# bootctl --esp-path=/efi --boot-path=/boot install
要完成安装,请 配置 *systemd-boot*。
更新 UEFI 引导管理器
每当 *systemd-boot* 发布新版本时,都可以选择由用户重新安装 UEFI 引导管理器。这可以手动或自动完成;接下来的章节将介绍这两种方法。
手动更新
使用 *bootctl* 更新 *systemd-boot*
# bootctl update
bootctl install 一样,*systemd-boot* 会尝试在 /efi、/boot 和 /boot/efi 查找 ESP。将 esp 设置为其他位置需要传递 --esp-path=esp 选项。自动更新
要自动更新 *systemd-boot*,请使用 systemd 服务或 pacman 钩子。下文将介绍这两种方法。
systemd 服务
从 250 版本开始,systemd 附带了 systemd-boot-update.service。启用此服务将导致 systemd-boot 在每次启动时运行以下命令
# bootctl --no-variables --graceful update
与手动更新一样,这将尝试在 /efi、/boot 或 /boot/efi 查找 ESP。如果 /usr/lib/systemd/boot/efi/ 中有更新的版本,该命令将更新 ESP 中所有已安装的 systemd-boot 版本。它会首先查找以 .efi.signed 结尾的 systemd-boot 文件,以便用户为 安全启动签名镜像。
pacman hook
包 systemd-boot-pacman-hookAUR 添加了一个 pacman 钩子,该钩子在每次升级 systemd 时执行。此钩子与 systemd 服务方法不同,它仅在升级 systemd 时尝试更新引导管理器,而不是在每次启动时都更新,并且它会立即执行,而不是等到下次启动。
与安装 AUR 包相比,您可能更倾向于手动将以下文件放置在 /etc/pacman.d/hooks/ 中
/etc/pacman.d/hooks/95-systemd-boot.hook
[Trigger] Type = Package Operation = Upgrade Target = systemd [Action] Description = Gracefully upgrading systemd-boot... When = PostTransaction Exec = /usr/bin/systemctl restart systemd-boot-update.service
为安全启动签名
如果您启用了 安全启动,您可能希望添加一个 pacman 钩子来在每次升级该包时自动为引导管理器签名
/etc/pacman.d/hooks/80-secureboot.hook
[Trigger]
Operation = Install
Operation = Upgrade
Type = Path
Target = usr/lib/systemd/boot/efi/systemd-boot*.efi
[Action]
Description = Signing systemd-boot EFI binary for Secure Boot
When = PostTransaction
Exec = /bin/sh -c 'while read -r f; do /usr/lib/systemd/systemd-sbsign sign --private-key /path/to/keyfile.key --certificate /path/to/certificate.crt --output "${f}.signed" "$f"; done;'
Depends = sh
NeedsTargets
将 /path/to/keyfile.key 和 /path/to/certificate.crt 替换为您自己的签名密钥和证书。有关此钩子的更多信息,请参阅 systemd-sbsign(1)。
创建的 /usr/lib/systemd/boot/efi/systemd-boot*.efi.signed 将被 bootctl install 或 bootctl update 自动拾取。请参阅 bootctl(1) § SIGNED .EFI FILES。
作为替代,可以使用 sbctl。
配置
bootctl(不带任何参数)以确保 systemd-boot 能够正确解析它。引导加载程序配置
引导加载程序配置存储在文件 esp/loader/loader.conf 中。有关详细信息,请参阅 loader.conf(5) § OPTIONS。
下面提供了一个引导加载程序配置示例
esp/loader/loader.conf
default arch.conf timeout 4 console-mode max editor no
default和timeout可以在引导菜单本身更改,并且更改将作为 UEFI 变量LoaderEntryDefault和LoaderConfigTimeout存储,从而覆盖这些选项。- 可以使用
bootctl set-default ""和bootctl set-timeout ""来清除覆盖default和timeout选项的 UEFI 变量。 - 如果设置了
timeout 0,可以通过按Space键来访问引导菜单。 - 一个基本的引导加载程序配置文件位于
/usr/share/systemd/bootctl/loader.conf。 - 如果引导管理器——在条目选择过程中——显示失真/使用错误的解析度,您可以尝试将
console-mode设置为auto(使用启发式方法选择最佳解析度)、keep(保留固件提供的解析度)或2(尝试选择第一个非 UEFI 标准的解析度)。
记住上次选择的条目
可以将 default 改为 @saved,以便在启动时记住上次选择的条目。当双引导 Windows 并且 Windows 自动更新意外地将您推入 Linux 时,这将很有用。
esp/loader/loader.conf
default @saved ...
有关更多详细信息,请参阅 loader.conf(5)。
添加引导加载程序
systemd-boot 将在它启动的 EFI 系统分区上查找 /loader/entries/ 中的 *.conf 文件,此外还会查找同一磁盘上的 XBOOTLDR 分区。
esp/loader/entries/*.conf中的条目只能使用esp/中的文件(例如内核、initramfs、镜像等),而boot/loader/entries/*.conf中的条目只能使用boot/中的文件。- 文件路径参数相对于您的 EFI 系统分区或 XBOOTLDR 分区的根目录。例如,如果您的 EFI 系统分区或 XBOOTLDR 分区挂载在
/boot,那么/boot/vmlinuz-linux文件必须在linux键中指定为/vmlinuz-linux。 - 当 安全启动激活时,带有嵌入式
.cmdline的统一内核镜像(UKIs)会忽略传递给它们的所有命令行选项(无论是通过带options的引导条目还是交互式)。当安全启动未激活时,通过命令行传递的选项将覆盖嵌入式.cmdline。
以下是一个使用其 UUID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 从卷引导 Arch 的引导文件示例
esp/loader/entries/arch.conf
title Arch Linux linux /vmlinuz-linux initrd /initramfs-linux.img options root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rw
esp/loader/entries/arch-fallback.conf
title Arch Linux (fallback initramfs) linux /vmlinuz-linux initrd /initramfs-linux-fallback.img options root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rw
有关所有配置选项的详细信息,请参阅 Boot Loader Specification。
systemd-boot 会在启动时自动检查 **Windows 引导管理器** 在 /EFI/Microsoft/Boot/Bootmgfw.efi 的位置,**Apple macOS 引导管理器** 在固件中,UEFI Shell /shellx64.efi 以及 **EFI 默认引导加载程序** /EFI/BOOT/bootx64.efi,以及在 /EFI/Linux/ 中找到的特别准备的内核文件。检测到时,将分别生成具有标题 auto-windows、auto-osx、auto-efi-shell 和 auto-efi-default 的相应条目。这些条目不需要手动引导加载程序配置。但是,它不会自动检测其他 EFI 应用程序(不像 rEFInd),因此要引导 Linux 内核,必须手动创建配置条目。
initrd 中指定 /boot/amd-ucode.img 或 /boot/intel-ucode.img,并且务必将其放置在主 initramfs 镜像 **之前**。UEFI Shell 或其他 EFI 应用程序
如果您使用 edk2-shell 包安装了 UEFI Shell,*systemd-boot* 将自动检测并创建一个新条目,前提是 EFI 文件放置在 esp/shellx64.efi。安装该包后的一个示例命令是
# cp /usr/share/edk2-shell/x64/Shell.efi /boot/shellx64.efi
否则,如果您将 其他 EFI 应用程序安装到 ESP,您可以使用以下代码片段。
efi 行的文件路径参数相对于您的 EFI 系统分区的根目录。如果您的 EFI 系统分区挂载在 /boot,并且您的 EFI 二进制文件位于 /boot/EFI/xx.efi 和 /boot/yy.efi,那么您将分别将参数指定为 efi /EFI/xx.efi 和 efi /yy.efi。esp/loader/entries/fwupd.conf
title Firmware updater efi /EFI/tools/fwupdx64.efi
esp/loader/entries/gdisk.conf
title GPT fdisk (gdisk) efi /EFI/tools/gdisk_x64.efi
Memtest86+
为此,您需要安装 memtest86+-efi。在安全启动下使用时,也请对 EFI 二进制文件进行签名。
esp/loader/entries/memtest.conf
title Memtest86+ efi /memtest86+/memtest.efi
Netboot
*systemd-boot* 可以链式加载 Netboot。下载 ipxe-arch.efi EFI 二进制文件和签名,验证它,并将其放置在 esp/EFI/arch_netboot/arch_netboot.efi 推荐的位置。
esp/loader/entries/arch_netboot.conf
title Arch Linux Netboot efi /EFI/arch_netboot/arch_netboot.efi
GRUB
*systemd-boot* 可以链式加载 GRUB。grubx64.efi 二进制文件的位置与 GRUB 安装到 ESP 时使用的 --bootloader-id= 值匹配。
esp/loader/entries/grub.conf
title GRUB efi /EFI/GRUB/grubx64.efi
从另一块磁盘引导
*systemd-boot* 不能从它启动的 ESP 或同一磁盘上的 XBOOTLDR 分区以外的分区启动 EFI 二进制文件,但它可以指示 UEFI Shell 来这样做。
首先,按照上面描述的安装 edk2-shell。在 UEFI Shell 中,使用 map 命令记录具有相应 PARTUUID 的分区的 **FS 别名**(例如:HD0a66666a2、HD0b、FS1 或 BLK7)。
然后,使用 exit 命令引导回 Linux,在那里您可以创建一个新的引导加载程序条目,通过 UEFI Shell 运行目标 EFI 程序
esp/loader/entries/windows.conf
title Windows efi /shellx64.efi options -nointerrupt -nomap -noversion HD0b:EFI\Microsoft\Boot\Bootmgfw.efi
确保 efi 路径与 shellx64.efi 在 esp 分区中复制的位置匹配。另外,请注意,shellx64.efi EFI 文件可以移动到其他位置,以避免 systemd-boot 的自动条目创建。
将 HD0b 替换为先前记录的 FS 别名。
-nointerrupt选项可防止使用Ctrl+c中断目标 EFI 程序。-nomap -noversion选项会隐藏默认的 UEFI Shell 问候语。- 要让 UEFI Shell 在目标 EFI 程序退出时(例如由于错误)自动返回到引导管理器,请添加
-exit选项。 - 如果 UEFI Shell 中仍有不必要的输出,您还可以添加
-noconsoleout选项。
引导至 UEFI 固件设置
如果您的设备固件支持从操作系统重启到设置,systemd-boot 将自动添加一个条目来引导至 UEFI 固件设置。
带密码保护的内核参数编辑器
或者,您可以安装 systemd-boot-passwordAUR,它支持 password 基本配置选项。使用 sbpctl generate 来生成此选项的值。
使用以下命令安装 systemd-boot-password
# sbpctl install esp
启用编辑器后,在您可以编辑内核参数之前,将提示您输入密码。
技巧与提示
引导菜单中的按键
您可以在菜单中按 t 和 T 来调整菜单超时时间,按 e 来编辑本次引导的内核参数。按 h 查看有用的热键列表。有关引导菜单中可用按键绑定的完整列表,请参阅 systemd-boot(7) § KEY BINDINGS。
选择下次引导
引导管理器与 systemctl 命令集成,允许您选择重启后要引导的选项。例如,假设您构建了一个自定义内核并创建了一个条目文件 esp/loader/entries/arch-custom.conf 来引导它,您可以直接运行
$ systemctl reboot --boot-loader-entry=arch-custom.conf
您的系统将重启到该条目,而不会更改后续引导的默认选项。要查看可能的条目列表,请传递 --boot-loader-entry=help 选项。
如果您想直接引导到主板的固件,您可以使用此命令
$ systemctl reboot --firmware-setup
统一内核镜像 (UKI)
统一内核镜像(UKI)在 esp/EFI/Linux/ 中会被 systemd-boot 自动获取,并且不需要在 esp/loader/entries 中进行条目配置。(请注意,统一内核镜像必须具有 .efi 扩展名才能被 *systemd-boot* 识别。)
esp/loader/entries/ 中的文件在 esp/loader/loader.conf 中没有设置 default,它们将首先被引导。删除这些条目,或使用完整文件名设置默认值,即 default arch-linux.efiESP 上的 Grml
PKGBUILD:grml-systemd-bootAUR。Grml 是一个小型的 live 系统,包含一套用于系统管理和救援的软件。
为了在 ESP 上安装 Grml,我们只需要将 ISO 文件中的内核 vmlinuz、initramfs initrd.img 和 squashed 镜像 grml64-small.squashfs 复制到 ESP。要做到这一点,首先下载 grml64-small.iso 并挂载该文件(挂载点从此称为 mnt);内核和 initramfs 位于 mnt/boot/grml64small/,squashed 镜像位于 mnt/live/grml64-small/。
接下来,在您的 ESP 中为 Grml 创建一个目录,
# mkdir -p esp/grml
并将上述文件复制到其中
# cp mnt/boot/grml64small/vmlinuz esp/grml # cp mnt/boot/grml64small/initrd.img esp/grml # cp mnt/live/grml64-small/grml64-small.squashfs esp/grml
最后一步,为 systemd-boot 创建一个引导条目:在 esp/loader/entries 中创建一个 grml.conf 文件,内容如下
esp/loader/entries/grml.conf
title Grml Live Linux linux /grml/vmlinuz initrd /grml/initrd.img options apm=power-off boot=live live-media-path=/grml/ nomce net.ifnames=0
有关可用引导选项的概述,请参阅 Grml 的 cheatcode。
ESP 上的 Archiso
PKGBUILD:archiso-systemd-bootAUR。与 Grml 一样,可以使用 Arch Linux ISO。要做到这一点,我们需要将 ISO 文件中的内核 vmlinuz-linux、initramfs initramfs-linux.img 和 squashfs 镜像 airootfs.sfs 复制到 EFI 系统分区。
首先下载 archlinux-YYYY.MM.DD-x86_64.iso。
接下来,在您的 ESP 中为 archiso 创建一个目录
# mkdir -p esp/EFI/archiso
将 arch 目录中的内容解压到其中
# bsdtar -v -x --no-same-permissions --strip-components 1 -f archlinux-YYYY.MM.DD-x86_64.iso -C esp/EFI/archiso arch
最后一步,为 systemd-boot 创建一个引导条目:在 esp/loader/entries 中创建一个 arch-rescue.conf 文件,内容如下
esp/loader/entries/arch-rescue.conf
title Arch Linux (rescue system) linux /EFI/archiso/boot/x86_64/vmlinuz-linux initrd /EFI/archiso/boot/x86_64/initramfs-linux.img options archisobasedir=/EFI/archiso archisosearchfilename=/EFI/archiso/boot/x86_64/vmlinuz-linux
有关可用引导选项的概述,请参阅 mkinitcpio-archiso 的 README.bootparams。
ESP 上的恢复 Arch 镜像与安全启动
官方 Arch ISO 目前不支持 安全启动。因此,必须禁用安全启动才能引导 ISO 进行恢复或维护。这会削弱系统安全性,并且不是理想的方法。
另一种方法是使用 mkosi 创建一个已签名的 统一内核镜像(UKI),前提是您的系统已经配置并正常运行了安全启动。这样您就可以在不禁用安全启动或随身携带 Arch ISO USB 驱动器的情况下,引导到已签名的恢复 Arch 环境。
https://swsnr.de/archlinux-rescue-image-with-mkosi/ 描述了如何设置与安全启动兼容的 Arch 恢复镜像。一个实用的起点,附带一个合理的 mkosi 配置,您可以添加您的软件包,请参见 https://codeberg.org/swsnr/rescue-image。
BIOS 系统上的 systemd-boot
如果您需要一个遵循 The Boot Loader Specification 的 BIOS 系统引导管理器,那么 systemd-boot 可以在 BIOS 系统上发挥作用。Clover 引导管理器支持从 BIOS 系统引导,并提供一个模拟的 UEFI 环境。
故障排除
systemd-boot 未显示我的引导条目
这可能是由于配置文件中各种问题造成的,例如内核路径指定不正确。要检查,请运行
# bootctl
在 BIOS 模式下引导后进行安装
如果在 BIOS 模式下引导,您仍然可以安装 *systemd-boot*,但是这个过程需要您告知固件在引导时启动 *systemd-boot* 的 EFI 文件
- 您有可用的 UEFI Shell 在别处。
- 您的固件接口提供了一种正确设置引导时需要加载的 EFI 文件的方式。
- 某些固件可能使用默认的
esp/EFI/BOOT/BOOTX64.EFI,如果 UEFI 中没有设置其他条目。
如果可以做到,安装会更简单:进入您的 UEFI Shell 或固件配置接口,并将您机器的默认 EFI 文件更改为 esp/EFI/systemd/systemd-bootx64.efi。
使用 efibootmgr 手动添加条目
如果 bootctl install 命令失败,您可以使用 efibootmgr 手动创建 UEFI 引导条目
# efibootmgr --create --disk /dev/sdX --part Y --loader '\EFI\systemd\systemd-bootx64.efi' --label "Linux Boot Manager" --unicode
其中 /dev/sdXY 是 EFI 系统分区。
\) 作为分隔符。使用 bcdedit 从 Windows 手动添加条目
如果您出于任何原因需要从 Windows 创建 UEFI 引导条目,您可以使用管理员命令提示符中的以下命令
> bcdedit /copy "{bootmgr}" /d "Linux Boot Manager"
> bcdedit /set "{guid}" path \EFI\systemd\systemd-bootx64.efi
将 guid 替换为第一个命令返回的 id。您还可以使用以下命令将其设置为默认条目
> bcdedit /default "{guid}"
Windows 升级后菜单未出现
请参阅 UEFI#Windows changes boot order。
添加对 Windows BitLocker TPM 解锁的支持
要阻止 BitLocker 请求恢复密钥,请将以下内容添加到 loader.conf
esp/loader/loader.conf
reboot-for-bitlocker yes
这将设置 BootNext UEFI 变量,从而加载 Windows 引导管理器 而无需 BitLocker 请求恢复密钥。这是一个一次性更改,*systemd-boot* 仍然是默认的引导管理器。如果 Windows 已自动检测到,则无需为其指定条目。
这是一个实验性功能,因此请务必查阅 loader.conf(5)。