.\" -*- coding: UTF-8 -*-
'\" t
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH SYSTEMD\-STUB 7 "" "systemd 255" systemd\-stub
.ie  \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH BEZEICHNUNG
systemd\-stub, sd\-stub, linuxx64.efi.stub, linuxia32.efi.stub,
linuxaa64.efi.stub \- Ein einfacher UEFI\-Kernel\-Systemstartrumpf
.SH ÜBERSICHT
.PP
/usr/lib/systemd/boot/efi/linuxx64\&.efi\&.stub
.PP
/usr/lib/systemd/boot/efi/linuxia32\&.efi\&.stub
.PP
/usr/lib/systemd/boot/efi/linuxaa64\&.efi\&.stub
.PP
\fIESP\fP/…/\fIfoo\fP\&.efi\&.extra\&.d/*\&.addon\&.efi
.PP
\fIESP\fP/\&.\&.\&./\fIfoo\fP\&.efi\&.extra\&.d/*\&.cred
.PP
\fIESP\fP/\&.\&.\&./\fIfoo\fP\&.efi\&.extra\&.d/*\&.raw
.PP
\fIESP\fP/loader/addons/*\&.addon\&.efi
.PP
\fIESP\fP/loader/credentials/*\&.cred
.SH BESCHREIBUNG
.PP
\fBsystemd\-stub\fP (gespeichert auf Platte in den architekturabhängigen Dateien
linuxx64\&.efi\&.stub, linuxia32\&.efi\&.stub, linuxaa64\&.efi\&.stub) ist
ein einfacher UEFI\-Systemstartrumpf\&. Ein UEFI\-Systemstartrumpf ist ein
Stück Code, das an ein Linux\-Kernel\-Programmabbild angehängt wird und in der
UEFI\-Firmwareumgebung ausgeführt wird, bevor in die Linux\-Kernelumgebung
übergewechselt wird\&. Der UEFI\-Systemstartrumpf stellt sicher, dass ein
Linux\-Kernel als reguläres UEFI\-Programm ausgeführt wird\&. Er ist in der
Lage, verschiedene vorbereitende Aktionen durchzuführen, bevor das System in
die Linux\-Welt umgeschaltet wird\&.
.PP
Der UEFI\-Systemstartrumpf schaut innerhalb des UEFI\-PE\-Programms selbst nach
verschiedenen Ressourcen für den Kernelaufruf\&. Dies ermöglicht die
Kombination verschiedener Ressourcen innerhalb eines einzigen
PE\-Programmabbilds (das normalerweise »Unified Kernel Image« (vereinigtes
Kernelabbild oder kurz »UKI«) genannt wird), welches dann selbst wieder über
UEFI SecureBoot als ganzes signiert werden kann, und damit alle einzelnen
Ressourcen auf einmal abdeckt\&. Insbesondere kann er folgendes enthalten:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.linux« mit dem ELF\-Linux\-Kernelabbild\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.osrel« mit den
Betriebssystemveröffentlichungsinformationen, d\&.h\&. der Inhalt der Datei
\fBos\-release\fP(5) des Betriebssystems, zu dem der Kernel gehört\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.cmdline« mit der an den aufzurufenden Kernel zu
übergebenden Kernelbefehlszeile\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.initrd« mit der Initrd\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.splash« mit einem Bild (im Windows\-\&.BMP\-Format), das vor
dem Aufruf des Kernels auf dem Bildschirm anzuzeigen ist\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.dtb« mit einem kompilierten binären DeviceTree\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.uname« mit Kernelversionsinformationen, d\&.h\&. die
Ausgabe von \fBuname \-r\fP für den im Abschnitt »\&.linux« enthaltenen
Kernel\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.sbat« mit
\m[blue]\fBSBAT\fP\m[]\&\s-2\u[1]\d\s+2\-Widerrufsmetadaten\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.pcrsig« mit einer Gruppe kryptographischer Signaturen im
JSON\-Format für die erwarteten TPM2\-PCR\-Werte, nachdem dieser Kernel
gestartet wurde\&. Dies ist zur Implementierung von TPM2\-Richtlinien
nützlich, die Plattenverschlüsselung und ähnliches an Kernel binden, die mit
einem bestimmten Schlüssel signiert wurden\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ein Abschnitt »\&.pcrpkey« mit einem öffentlichen Schlüssel im PEM\-Format,
der auf die Signaturdaten im Abschnitt »\&.pcrsig« passt\&.
.RE
.PP
Falls UEFI\-SecureBoot aktiviert und der Abschnitt »\&.cmdline« in dem
ausgeführten Abbild vorhanden ist, werden alle Versuche, die
Kernelbefehlszeile durch Übergabe anderer Aufrufparameter an das
EFI\-Programm außer Kraft zu setzen, ignoriert\&. Um daher die
Außerkraftsetzung der Kernelbefehlszeile zu erlauben, deaktivieren Sie
entweder UEFI\-SecureBoot oder nehmen Sie keine Kernelbefehlszeile in den
PE\-Abschnitt in der Kernelabbilddatei auf\&. Falls eine Befehlszeile über
EFI\-Aufrufparameter an das EFI\-Programm akzeptiert wird, dann wird sie in
TPM PCR 12 eingemessen (falls ein TPM vorhanden ist)\&.
.PP
Falls in dem Abschnitt »\&.dtb« ein DeviceTree eingebettet ist, ersetzt er
einen bestehenden DeviceTree in der entsprechenden
EFI\-Konfigurationstabelle\&. Systemd\-stub wird die Firmware über das
»EFI_DT_FIXUP_PROTOCOL« nach hardwarespezifischen Korrekturen für den
DeviceTree befragen\&.
.PP
Der Inhalt acht dieser neun Abschnitte wird in TPM PCR 11
eingemessen\&. Wird anderweitig nicht verwandt und daher können die
Ergebnisse ohne großen Aufwand vorberechnet werden\&. Der Abschnitt
»&.pcrsig« wird in diese Messung nicht eingeschlossen, da er dazu gedacht
ist, die Signaturen der Ausgabe des Messaktion zu enthalten und kann daher
nicht auch deren Eingabe sein\&.
.PP
Wenn »\&.pcrsig«\- und/oder »\&.pcrpkey«\-Abschnitte in einem vereinigten
Kernelabbild vorhanden sind, werden ihre Inhalte an den gestarteten Kernel
in einem synthetisierten Initrd\-CPIO\-Archiv übergeben, das sie unter den
Dateien \&.extra/tpm2\-pcr\-signature\&.json und
/\&.extra/tpm2\-pcr\-public\-key\&.pem ablegt\&. Typischerweise stellt eine
\fBtmpfiles.d\fP(5)\-Zeile dann sicher, das sie nach
/run/systemd/tpm2\-pcr\-signature\&.json und
/run/systemd/tpm2\-pcr\-public\-key\&.pem kopiert werden, wo sie zugreifbar
bleiben, auch nachdem das System aus der Initrd\-Umgebung in das Dateisystem
des Rechners übergegangen ist\&. Werkzeuge wie
\fBsystemd\-cryptsetup@.service\fP(8), \fBsystemd\-cryptenroll\fP(1) und
\fBsystemd\-creds\fP(1) werden diese Dateien unterhalb dieser Pfade automatisch
verwenden, um geschützte Ressourcen (verschlüsselte Dateisysteme oder
Zugangsberechtigungen) zu entsperren oder Verschlüsselungen an gestartete
Kernel zu binden\&.
.PP
Weitere Details zum UKI\-Konzept finden Sie in der
\m[blue]\fBUKI\-Spezifikation\fP\m[]\&\s-2\u[2]\d\s+2\&.
.SH BEGLEITDATEIEN
.PP
Der UEFI\-Systemstartrumpf \fBsystemd\-stub\fP sammelt automatisch drei Arten von
zusätzlichen Hilfs\-Begleitdateien, die optional in den
Ergänzungsverzeichnissen auf der gleichen Partition wie das EFI\-Programm
abgelegt werden, erstellt ein \fBcpio\fP\-Initrd\-Archiv daraus und übergibt sie
an den Kernel\&. Konkret:
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Für ein Kernelprogramm namens \fIfoo\fP\&.efi wird nach Dateien mit der Endung
\&.cred in einem Verzeichnis namens \fIfoo\fP\&.efi\&.extra\&.d/ daneben
gesucht\&. Falls das Kernelprogramm einen Zähler zum Zwecke der
\m[blue]\fBAutomatischen Systemstartbewertung\fP\m[]\&\s-2\u[3]\d\s+2
verwendet, wird dieser Zähler ignoriert\&. Beispielsweise wird
\fIfoo\fP+3\-0\&.efi im Verzeichnis \fIfoo\fP\&.efi\&.extra\&.d/ nachschauen\&. Von
auf diese Art gefundenen Dateien wird ein \fBcpio\fP\-Archiv erstellt und sie
werden im Verzeichnis /\&.extra/credentials/ in der Initrd\-Dateihierarchie
abgelegt\&. Die Haupt\-Initrd kann dann auf sie in dem Verzeichnis
zugreifen\&. Dies ist dazu gedacht, zusätzliche, verschlüsselte,
authentifizierte Zugangsberechtigungen zum Einsatz mit
\fILoadCredentialEncrypted=\fP in der UEFI\-Systempartition zu
speichern\&. Siehe \fBsystemd.exec\fP(5) und \fBsystemd\-creds\fP(1) für Details
über verschlüsselte Zugangsberechtigungen\&. Das erstellte \fBcpio\fP wird in
TPM PCR 12 eingemessen (falls ein TPM vorhanden ist)\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ähnlich werden \fIfoo\fP\&.efi\&.extra\&.d/*\&.raw\-Dateien in einem
\fBcpio\fP\-Archiv gepackt und im Verzeichnis /\&.extra/sysext/ in der
Initrd\-Dateihierarchie abgelegt\&. Dies ist zur Übergabe zusätzlicher
Systemerweiterungsabbilder an die Initrd gedacht\&. Siehe
\fBsystemd\-sysext\fP(8) für Details über Systemerweiterungsabbilder\&. Das
erstellte \fBcpio\fP, das diese Systemerweiterungsabbilder enthält, wird in TPM
PCR 13 eingemessen (falls ein TPM vorhanden ist)\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ähnlich werden Dateien \fIfoo\fP\&.efi\&.extra\&.d/*\&.addon\&.efi geladen und
als PE\-Programme verifiziert und ein Abschnitt »\&.cmdline« wird aus ihnen
ausgelesen\&. Erweiterungen sind dazu gedacht, zusätzliche
Kernelbefehlszeilenparameter oder Devicetree\-Datenblöcke weiterzugeben,
unabhängig vom gestarteten Kernel\&. Beispielsweise erlaubt dies
Lieferanten, plattformspezifische Konfiguration auszuliefern\&.
.sp
Falls Secure Boot aktiviert ist, werden diese Dateien mittels der Schlüssel
in der UEFI DB, Shims DB oder Shims MOK validiert und andernfalls
abgelehnt\&. Falls zusätzlich sowohl die Erweiterung als auch das UKI einen
Abschnitt »\&.uname« enthält, wird die Erweiterung abgelehnt, falls beide
nicht exakt übereinstimmen\&. Es wird empfohlen, immer einen Abschnitt
»\&.sbat« zu allen signierten Erweiterungen hinzuzufügen, so dass sie mit
einer SBAT\-Richtlinien\-Aktualisierung zurückziehbar sind, ohne Sperrlisten
mittels DBX/MOKX zu benötigen\&. Das Werkzeug \fBukify\fP(1) wird standardmäßig
eine SBAT\-Richtlinie hinzufügen, falls keine beim Bau der Erweiterungen
übergeben wurde\&. Zu weiteren Informationen über SBAT siehe die
\m[blue]\fBDokumentation von Shim\fP\m[]\&\s-2\u[1]\d\s+2\&.
.sp
Ergänzungsdateien werden sortiert, geladen, in TPM PCR 12 eingemessen (falls
ein TPM vorhanden ist) und an die Kernelbefehlszeile
angehängt\&. UKI\-Befehlszeilenoptionen werden zuerst aufgelistet, dann
Optionen von Ergänzungen in /loader/addons/*\&.addon\&.efi und schließlich
Ende UKI\-spezifische Ergänzungen\&. Devicetree\-Binärddateien werden gemäß
des gleichen Algorithmus geladen und gemessen\&. Ergänzungen werden immer in
der gleichen Reihenfolge, basierend auf ihrem Dateinamen, geladen, so dass
bei der gleichen Gruppe von Ergänzungen die gleiche Gruppe von Messungen in
PCR12 erwartet werden kann\&. Beachten Sie allerdings, dass der Dateiname
nicht durch die PE\-Signatur geschützt ist\&. Daher kann ein Angreifer mit
Schreibzugriff auf den ESP möglicherweise diese Dateien umbenennen, um die
Reihenfolge zu ändern, in der sie geladen werden und das auf eine Art, die
die Funktionalität des Kernels ändert, da einige Optionen von der
Reihenfolge abhängen können\&. Falls Sie solche Ergänzungen signieren,
sollten Sie auf die PCR12\-Werte achten und einen Bescheinigungs\-Dienst
verwenden, so dass die inkorrekte Verwendung von ihren signierten
Erweiterungen erkannt werden kann und eine der vorstehenden
Widerruf\-Mechanismen darauf angewandt werden kann\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
/loader/credentials/*\&.cred\-Dateien werden in ein \fBcpio\fP\-Archiv gepackt
und im Verzeichnis /\&.extra/global_credentials/ der Initrd\-Dateihierarchie
abgelegt\&. Dies ist zur Übergabe zusätzlicher Zugangsberechtigungen an die
Initrd gedacht, unabhängig von dem gestarteten Kernel\&. Das erstellte
\fBcpio\fP wird in TPM PCR 12 eingemessen (falls ein TPM vorhanden ist)\&.
.RE
.sp
.RS 4
.ie  n \{\
\h'-04'\(bu\h'+03'
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Zusätzlich werden Dateien /loader/addons/*\&.addon\&.efi geladen und als
PE\-Programme verifiziert und Abschnitte »\&.cmdline« und/oder »\&.dtb«
werden aus ihnen ausgelesen\&. Dies ist dazu gedacht, zusätzliche
Befehlszeilenparameter oder Devicetree\-Binärdateien an den Kernel
weiterzugeben, unabhängig vom gestarteten Kernel\&.
.RE
.PP
Diese Mechanismen können zum Parametrisieren und Erweitern
vertrauenswürdiger (d\&.h\&. signierter), unveränderbarer Initrd\-Abbilder
auf eine recht sichere Art und Weise verwandt werden: alle in ihnen
erhaltene Daten werden in TPM PCRs eingemessen\&. Beim Zugriff sollten sie
weiter validiert werden: Im Falle der Zugangsberechtigungen durch
Entschlüsselung/Authentifizierung mittels TPM, wie das über \fBsystemd\-creds encrypt \-T\fP (siehe \fBsystemd\-creds\fP(1) für Details) offengelegt wird; im
Falle der Systemerweiterungsabbilder mittels signierter Verity\-Abbilder\&.
.SH TPM\-PCR\-HINWEISE
.PP
Beachten Sie, dass beim Aufruf eines vereinigten Kernels mittels
\fBsystemd\-stub\fP die Firmware ihn als ganzes in TPM PCR 4 einmessen wird und
dabei alle eingebetteten Ressourcen wie den Stub\-Code selbst, den
Kernelkern, die eingebettete Initrd und die Kernelbefehlszeile abdecken wird
(die vollständige Liste finden Sie weiter oben)\&.
.PP
Beachten Sie auch, dass der Linux\-Kernel alle Initrds, die er empfängt, in
TPM PCR 9 einmessen wird\&. Dies bedeutet, dass jede Art von Initrd zwei
oder drei Mal gemessen wird: die im Kernel\-Abbild eingebettete Initrd wird
in PCR 4, PCR 9 und PCR 11 eingemessen; die aus den Zugangsberechtigungen
synthetisierte Initrd wird sowohl in PCR 9 als auch in PCR 12 eingemessen;
die aus den Systemerweiterungen synthetisierte Initrd wird sowohl in PCR 4
als auch PCR 9 eingemessen\&. Zusammenfassend können die
Betriebssystemressourcen und die PCRs, in die sie eingemessen werden, wie
folgt zusammengefasst werden:
.sp
.it 1 an-trap
.nr an-no-space-flag 1
.nr an-break-flag 1
.br
\fBTabelle\ \&1.\ \&Zusammenfassung von Betriebssystem\-Ressourcen\-PCR\fP
.TS
allbox tab(:);
lB lB.
T{
Betriebssystemressource
T}:T{
Mess\-PCR
T}
.T&
l l
l l
l l
l l
l l
l l
l l
l l
l l
l l
l l.
T{
Code von \fBsystemd\-stub\fP (der Einstiegspunkt für das vereinigte PE\-Programm)
T}:T{
4
T}
T{
Kern\-Kernelcode (eingebettet in das vereinigte PE\-Programm)
T}:T{
4 + 11
T}
T{
Betriebssystemveröffentlichungsinformationen (eingebettet in das vereinigte PE\-Programm)
T}:T{
4 + 11
T}
T{
Haupt\-Initrd (eingebettet in das vereinigte PE\-Programm)
T}:T{
4 + 9 + 11
T}
T{
Standard\-Kernel\-Befehlszeile (eingebettet in das vereinigte PE\-Programm)
T}:T{
4 + 11
T}
T{
Kernel\-Befehlszeile außer Kraft setzen
T}:T{
12
T}
T{
Startbild (eingebettet in das vereinigte PE\-Programm)
T}:T{
4 + 11
T}
T{
TPM2\-PCR\-Signatur\-JSON (eingebettet in das vereinigte PE\-Programm, synthetisiert in die Initrd)
T}:T{
4 + 9
T}
T{
TPM2\-PCR\-PEM öffentlicher Schlüssel (eingebettet in das vereinigte PE\-Programm, synthetisiert in die Initrd)
T}:T{
4 + 9 + 11
T}
T{
Zugangsberechtigungen (synthetisierte Initrd aus Begleitdateien)
T}:T{
9 + 12
T}
T{
Systemerweiterungen (synthetisierte Initrd aus Begleitdateien)
T}:T{
9 + 13
T}
.TE
.sp 1
.SH EFI\-VARIABLEN
.PP
Die folgenden EFI\-Variablen werden unter der Lieferanten\-UUID
»4a67b082\-0a4c\-41cf\-b6c7\-440b29bb8c4f« für die Kommunikation zwischen dem
Systemstartrumpf und dem Betriebssystem definiert, gesetzt und gelesen:
.PP
\fILoaderDevicePartUUID\fP
.RS 4
Enthält die Partitions\-UUID der EFI\-Systempartition von der das EFI\-Abbild
ausgeführt wurde\&. \fBsystemd\-gpt\-auto\-generator\fP(8) verwendet diese
Information, um automatisch die Platte zu finden, von der gestartet wurde,
um verschiedene andere Partitionen auf der gleichen Platte automatisch zu
erkennen\&.
.sp
Hinzugefügt in Version 250\&.
.RE
.PP
\fILoaderFirmwareInfo\fP, \fILoaderFirmwareType\fP
.RS 4
Kurze Firmware\-Informationen\&. Verwenden Sie \fBbootctl\fP(1), um diese Daten
zu betrachten\&.
.sp
Hinzugefügt in Version 250\&.
.RE
.PP
\fILoaderImageIdentifier\fP
.RS 4
Der Pfad zum EFI\-Programm, relativ zum Wurzelverzeichnis der
EFI\-Systempartition\&. Verwenden Sie \fBbootctl\fP(1), um diese Daten zu
betrachten\&.
.sp
Hinzugefügt in Version 250\&.
.RE
.PP
\fIStubInfo\fP
.RS 4
Kurze Rumpfinformationen\&. Verwenden Sie \fBbootctl\fP(1), um diese Daten zu
betrachten\&.
.sp
Hinzugefügt in Version 250\&.
.RE
.PP
\fIStubPcrKernelImage\fP
.RS 4
Der PCR\-Registerindex, in das das Kernelabbild, Initrd\-Abbild, der
Startbildschirm, die Devicetree\-Datenbank und die eingebettete Befehlszeile
eingemessen werden, formattiert als dezimale ASCII\-Zeichenkette
(z\&.B\&. »11«)\&. Diese Variable ist gesetzt, falls eine Messung
erfolgreich abgeschlossen werden konnte und verbleibt ansonsten nicht
gesetzt\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
\fIStubPcrKernelParameters\fP
.RS 4
Der PCR\-Registerindex, in das die Kernelbefehlszeile und
Zugangsberechtigungen eingemessen werden, formattiert als dezimale
ASCII\-Zeichenkette (z\&.B\&. »12«)\&. Diese Variable ist gesetzt, falls eine
Messung erfolgreich abgeschlossen werden konnte und verbleibt ansonsten
nicht gesetzt\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
\fIStubPcrInitRDSysExts\fP
.RS 4
Der PCR\-Registerindex, in dem sich die Systemd\-Erweiterungen für die Initrd,
die aus dem Dateisystem des Kernelabbildes aufgenommen werden,
befinden\&. Formattiert als dezimale ASCII\-Zeichenkette
(z\&.B\&. »12«)\&. Diese Variable ist gesetzt, falls eine Messung
erfolgreich abgeschlossen werden konnte und verbleibt ansonsten nicht
gesetzt\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
Beachten Sie, dass einige der obigen Variablen auch durch das
Systemstartprogramm gesetzt werden können\&. Der Rupmf wird sie nur setzen,
falls sie nicht bereits gesetzt sind\&. Einige dieser Variablen werden durch
die \m[blue]\fBBoot\-Loader\-Schnittstelle\fP\m[]\&\s-2\u[4]\d\s+2 gesetzt\&.
.SH INITRD\-RESSOURCEN
.PP
Die folgenden Ressourcen werden als Initrd\-CPIO\-Archiv an den gestarteten
Kernel übergeben und stellen daher die anfängliche Dateisystem\-Hierarchie in
der Initrd\-Ausführungsumgebung dar:
.PP
/
.RS 4
Die Haupt\-Initrd aus dem PE\-Abschnitt »\&.initrd« des vereinigten
Kernelabbilds\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
/\&.extra/credentials/*\&.cred
.RS 4
Zugangsberechtigungsdateien (Endung »\&.cred«), die neben dem vereinigten
Kernelabbild abgelegt sind (wie oben beschrieben), werden in das Verzeichnis
/\&.extra/credentials/ in der Initrd\-Ausführungsumgebung kopiert\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
/\&.extra/global_credentials/*\&.cred
.RS 4
Ähnlich werden Zugangsberechtigungsdateien im Verzeichnis
/loader/credentials/ im Dateisystem, in dem das vereinigte Kernelabbild
abgelegt ist, in das Verzeichnis /\&.extra/global_credentials/ in der
Initrd\-Ausführungsumgebung kopiert\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
/\&.extra/sysext/*\&.raw
.RS 4
Systemerweiterungsabbilddateien (Endung »\&.raw«), die neben dem vereinigten
Kernelabbild abgelegt sind (wie oben beschrieben), werden in das Verzeichnis
/\&.extra/sysext/ in der Initrd\-Ausführungsumgebung kopiert\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
/\&.extra/tpm2\-pcr\-signature\&.json
.RS 4
Das TPM2\-PCR\-Signatur\-JSON\-Objekt, das in dem PE\-Abschnitt »\&.pcrsig« des
vereinigten Kernelabbildes enthalten ist, wird in die Datei
/\&.extra/tpm2\-pcr\-signature\&.json in der Initrd\-Ausführungsumgebung
kopiert\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
/\&.extra/tpm2\-pcr\-pkey\&.pem
.RS 4
Der öffentliche PEM\-Schlüssel, der in dem PE\-Abschnitt »\&.pcrpkey« des
vereinigten Kernelabbildes enthalten ist, wird in die Datei
/\&.extra/tpm2\-pcr\-public\-key\&.pem in der Initrd\-Ausführungsumgebung
kopiert\&.
.sp
Hinzugefügt in Version 252\&.
.RE
.PP
Beachten Sie, dass sich alle diese Dateien in dem »tmpfs«\-Dateisystem
befinden, das der Kernel für die Initrd\-Dateihierarchie einrichtet und daher
verloren gehen, wenn das System von der Initrd\-Ausführungsumgebung in das
Dateisystem des Rechners übergeht\&. Falls diese Ressourcen über diesen
Übergang hinweg erhalten werden sollen, müssen sie zuerst an einen Ort
kopiert werden, der den Übergang übersteht, beispielsweise durch eine
geeignete \fBtmpfiles.d\fP(5)\-Zeile\&. Standardmäßig erfolgt dies für die
TPM2\-PCR\-Signaturdatei und die Datei des öffentlichen Schlüssels\&.
.SH SMBIOS\-TYP\-11\-ZEICHENKETTEN
.PP
\fBsystemd\-stub\fP kann zur Verwendung von SMBIOS\-TYP\-11\-ZEICHENKETTEN
konfiguriert werden\&. Anwendbare Zeichenketten bestehen aus einem Namen,
gefolgt von »=«, gefolgt vom Wert\&. \fBsystemd\-stub\fP wird die Tabelle nach
einer Zeichenkette mit einem bestimmten Namen durchsuchen, und seinen Wert
verwenden, falls der Name gefunden wird\&. Die folgenden Zeichenketten
werden gelesen:
.PP
\fIio\&.systemd\&.stub\&.kernel\-cmdline\-extra\fP
.RS 4
Falls gesetzt, wird der Wert dieser Zeichenkette zu der Liste der
Kernelbefehlszeilenargumente, die in PCR12 eingemessen und an den Kernel
übergeben werden, hinzugefügt\&.
.sp
Hinzugefügt in Version 254\&.
.RE
.SH "ZUSAMMENBAU VON KERNELABBILDERN"
.PP
Um ein startbares vereinigtes Kernelabbild aus verschiedenen Komponenten wie
oben beschrieben zusammenzubauen, verwenden Sie \fBukify\fP(1)\&.
.SH "SIEHE AUCH"
.PP
\fBsystemd\-boot\fP(7), \fBsystemd.exec\fP(5), \fBsystemd\-creds\fP(1),
\fBsystemd\-sysext\fP(8),
\m[blue]\fBSystemladerspezifikation\fP\m[]\&\s-2\u[5]\d\s+2,
\m[blue]\fBBoot\-Loader\-Schnittstelle\fP\m[]\&\s-2\u[4]\d\s+2, \fBukify\fP(1),
\fBsystemd\-measure\fP(1), \m[blue]\fBVon Systemd durchgeführte TPM2\-PCR\-Messungen\fP\m[]\&\s-2\u[6]\d\s+2
.SH ANMERKUNGEN
.IP " 1." 4
SBAT
.RS 4
\%https://github.com/rhboot/shim/blob/main/SBAT.md
.RE
.IP " 2." 4
UKI\-Spezifikation
.RS 4
\%https://uapi\-group.org/specifications/specs/unified_kernel_image/
.RE
.IP " 3." 4
Automatische Systemstartbeurteilung
.RS 4
\%https://systemd.io/AUTOMATIC_BOOT_ASSESSMENT
.RE
.IP " 4." 4
Boot\-Loader\-Schnittstelle
.RS 4
\%https://systemd.io/BOOT_LOADER_INTERFACE
.RE
.IP " 5." 4
Systemladerspezifikation
.RS 4
\%https://uapi\-group.org/specifications/specs/boot_loader_specification
.RE
.IP " 6." 4
Von Systemd durchgeführte TPM2\-PCR\-Messungen
.RS 4
\%https://systemd.io/TPM2_PCR_MEASUREMENTS
.RE
.PP
.SH ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de>
erstellt.
.PP
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License Version 3
.UE
oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
.PP
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden,
schicken Sie bitte eine E-Mail an die
.MT debian-l10n-german@lists.debian.org
Mailingliste der Übersetzer
.ME .