EFI system partition (Русский)
Системный раздел EFI (EFI system partition, также называемый ESP или EFISYS) — это независимый от ОС раздел, который служит местом хранения загрузчиков UEFI и приложений, которые будут запускаться прошивкой UEFI. Он необходим для загрузки системы в режиме UEFI.
Проверка существования раздела
Если вы устанавливаете Arch Linux на компьютер с поддержкой UEFI и предустановленной ОС, например, Windows 10, то вполне вероятно, что у вас уже есть системный раздел EFI.
Чтобы посмотреть схему разделов диска и системный раздел, запустите fdisk от имени root, указав диск, с которого вы хотите загрузиться:
# fdisk -l /dev/sdx
Эта команда выведет:
- Таблицу разделов диска: GPT будет обозначен как
Тип метки диска: gpt
, а MBR — какТип метки диска: dos
. - Список разделов на диске: поищите в списке системный раздел EFI, он обычно имеет размер не менее 100 МиБ и тип
EFI System
илиEFI (FAT-12/16/32)
. Чтобы убедиться, что это ESP, смонтируйте его и проверьте, содержит ли он каталог с именемEFI
; если да, то это точно ESP.
Если вы нашли существующий системный раздел EFI, просто переходите к разделу #Монтирование раздела. Если раздел не нашёлся, его нужно создать: #Создание раздела.
Создание раздела
В следующих двух разделах показано, как создать системный раздел EFI (ESP).
Раздел должен иметь достаточно большой размер для хранения загрузчиков и других файлов, необходимых для загрузки.
Рекомендуется сделать раздел размером 1 ГиБ, чтобы в нём было достаточно места для размещения нескольких ядер или unified kernel images, загрузчика, файлов обновлений прошивки и любых других файлов операционной системы или OEM. Если всё равно есть сомнения, то 4 ГиБ должно хватить всем.
- Для ранних и/или несовершенных реализаций UEFI может потребоваться размер не менее 512 МиБ.[1]
- Если вы планируете монтировать системный раздел EFI как /boot и при этом использовать только одно ядро, то 400 МиБ должно хватить.
- При двойной загрузке с Windows размер должен составлять не менее 300 МиБ для дисков с размером логического сектора 4096 байт (диски Advanced Format 4Kn)[2] или не менее 100 МиБ в других случаях.[3]
- Для форматирования в FAT32 размер раздела должен быть не менее 36 МиБ при размере сектора 512 байт и не менее 260 МиБ при размере сектора 4096 байт.[4]
- Если ни одна из этих проблем не актуальна, размер раздела может составлять всего 2 МиБ, хотя тогда в него не поместится ничего кроме загрузчика.
Разметка дисков GPT
Системный раздел EFI в таблице разделов GUID идентифицируется с помощью GUID типа раздела C12A7328-F81F-11D2-BA4B-00A0C93EC93B
.
Выберите один из следующих способов создания ESP для диска GPT с разделами:
- fdisk: Создайте раздел и измените тип раздела на
EFI System
. - gdisk: Создайте раздел с типом раздела
EF00
. - GNU Parted: Создайте раздел
fat32
и в Parted активируйте флагesp
.
После создания раздел нужно отформатировать; переходите к разделу #Форматирование раздела.
Разметка дисков MBR
- Некоторые прошивки могут не поддерживать загрузку UEFI/MBR из-за того, что она не поддерживается установкой Windows.
- bootctl не поддерживает установку systemd-boot на MBR-диск; смотрите systemd issue 1125.
Подробнее об ограничениях MBR и преимуществах GPT смотрите в разделе Разметка дисков#Выбор между GPT и MBR.
Системный раздел EFI в главной загрузочной записи идентифицируется с помощью partition ID EF
.
Выберите один из следующих способов создания ESP для диска MBR с разделами:
- fdisk: Создайте первичный раздел и измените тип раздела на (
EFI (FAT-12/16/32)
. - GNU Parted: Создайте первичный раздел
fat32
и в Parted активируйте флагesp
.
После создания раздел нужно отформатировать; переходите к разделу #Форматирование раздела.
Форматирование раздела
Спецификация UEFI предусматривает поддержку файловых систем FAT12, FAT16 и FAT32 (UEFI specification version 2.10, section 13.3.1.1), но производители могут по желанию добавить поддержку дополнительных файловых систем; например, прошивки компьютеров Apple Mac поддерживают файловую систему HFS+.
Для предотвращения возможных проблем с другими операционными системами и поскольку в спецификации UEFI говорится, что UEFI «включает использование FAT32 для системного раздела и FAT12 или FAT16 для съёмных носителей»[5], рекомендуется использовать FAT32. Используйте утилиту mkfs.fat(8) из пакета dosfstools:
# mkfs.fat -F 32 /dev/sdxY
Если вы получили сообщение WARNING: Not enough clusters for a 32 bit FAT!
и у вас нет возможности увеличить размер раздела, уменьшите размер кластера с помощью команды mkfs.fat -s2 -F32 ...
или -s1
; иначе раздел может оказаться нечитаемым для UEFI. Поддерживаемые размеры кластера можно посмотреть в mkfs.fat(8).
Для разделов размером менее 32 МиБ использовать FAT32 не получится. В этом случае отформатируйте его в FAT16 или даже FAT12. Например, ESP размером 2 МиБ будет поддерживать только FAT12:
# mkfs.fat -F 12 /dev/sdxY
Монтирование раздела
Ядра, файлы initramfs и, в большинстве случаев, микрокод процессора должны быть доступны загрузчику или самому UEFI для успешной загрузки системы. Таким образом, если вы хотите сохранить простоту установки, выбор загрузчика ограничивает варианты выбора точки монтирования для системного раздела EFI.
/boot
, то при обновлении ядра не полагайтесь на механизм автоматического монтирования systemd (в том числе systemd-gpt-auto-generator). Всегда монтируйте его вручную перед любым обновлением системы или ядра, иначе вы не сможете смонтировать его после обновления из-за недоступности нужных модулей ядра, что заблокирует вас в текущем запущенном ядре и приведёт к невозможности обновить копию ядра на ESP.
В качестве альтернативы можно заранее загрузить необходимые модули ядра, например:
/etc/modules-load.d/vfat.conf
vfat nls_cp437 nls_ascii
Типичные точки монтирования
Есть три основных варианта монтирования системного раздела EFI.
- Монтирование ESP в
/boot
:- Это облегчает обслуживание и администрирование системы, поскольку
/boot
является путём по умолчанию, в который пакеты микрокода размещают файлы initramfs микрокода процессора, и в который mkinitcpio помещает ядра и образы initramfs. - Это обеспечивает доступ к вышеупомянутым файлам для большинства загрузчиков, поскольку не все из них могут обращаться к файлам на других томах.
- Это предотвращает установку прав доступа и/или расширенных атрибутов отдельным файлам, поскольку FAT устанавливает глобальные права доступа во время монтирования.
- Это увеличивает необходимый размер раздела, поскольку к файлам, обычно находящимся в
/boot
, добавляются файлы, связанные с EFI. - В случае двойной загрузки это приводит к тому, что специфичные для ОС загрузочные файлы могут подвергаться потенциально опасным манипуляциям со стороны других ОС.
- Это делает шифрование /boot невозможным, так как файлы, связанные с EFI, должны быть доступны прошивке.
- Это облегчает обслуживание и администрирование системы, поскольку
- Монтирование ESP в
/efi
:- Это отделяет файлы, специфичные для ОС, от файлов, связанных с EFI.
- Это позволяет избежать увеличения размера ESP за счёт отказа от размещения в нём файлов, устанавливаемых в
/boot
: на ESP будут храниться только исполняемые файлы EFI (загрузчик (и, опционально, драйверы) и/или unified kernel image), что экономит место на разделе. - Позволяет использовать специфические для Linux права доступа на уровне файловой системы для файлов, находящихся в
/boot
, без специфичных для FAT ограничений. - Это позволяет монтировать ESP отдельно по необходимости, например, только во время обновления загрузчика.
- При шифровании системы с соответствующей настройкой это позволяет оставить незашифрованными лишь несколько минимально необходимых файлов, а
/boot
будет защищён: это может быть полезно для unified kernel image или загрузчиков, имеющих драйверы файловой системы, способные прочитать ядро и прочие файлы из другого места.
- Монтирование ESP в
/efi
и дополнительно монтирование «Extended Boot Loader Partition» (XBOOTLDR) в/boot
. Это может быть полезно, когда ранее созданный ESP слишком мал для размещения нескольких загрузчиков и/или ядер, но увеличить размер ESP проблематично (например, при установке Linux после Windows для двойной загрузки). Этот метод поддерживает как минимум systemd-boot.
Альтернативные точки монтирования
Если вы не используете #Типичные точки монтирования, вам будет нужно самостоятельно скопировать файлы, необходимые для загрузки, в ESP (далее обозначается как esp
).
# mkdir -p esp/EFI/arch # cp -a /boot/vmlinuz-linux esp/EFI/arch/ # cp -a /boot/initramfs-linux.img esp/EFI/arch/ # cp -a /boot/initramfs-linux-fallback.img esp/EFI/arch/
Кроме того, вам нужно будет поддерживать файлы на ESP в актуальном состоянии при последующих обновлениях ядра. Несоблюдение этого требования может привести к незагружаемой системе. В следующих разделах обсуждаются несколько механизмов для автоматизации этого процесса.
Использование bind-монтирования
Вместо того, чтобы монтировать целиком ESP в /boot
, вы можете подключить отдельный каталог ESP к /boot
с помощью bind-монтирования (смотрите mount(8)). Это позволяет pacman обновлять ядро напрямую, а вам — организовать файлы в ESP по своему вкусу.
/boot/
). Смотрите сообщение на форуме [7].Как описано в начале раздела, скопируйте все загрузочные файлы в каталог вашего ESP, но смонтируйте ESP вне /boot
. Затем выполните bind-монтирование каталога:
# mount --bind esp/EFI/arch/ /boot
Если всё хорошо, отредактируйте свой Fstab, чтобы сделать изменение постоянным:
/etc/fstab
esp/EFI/arch /boot none defaults,bind 0 0
Использование systemd
Systemd поддерживает задачи, запускаемые по событию. В данном конкретном случае возможность обнаружения изменения пути используется для синхронизации файлов ядра EFISTUB и initramfs, когда они обновляются в /boot/
. Файл, который проверяется на изменения, это initramfs-linux-fallback.img
, так как это последний файл, который собирает mkinitcpio, что позволяет убедиться, что все нужные файлы были собраны перед началом копирования. Файлы path и service, которые должны быть созданы, следующие:
/etc/systemd/system/efistub-update.path
[Unit] Description=Copy EFISTUB Kernel to EFI system partition [Path] PathChanged=/boot/initramfs-linux-fallback.img [Install] WantedBy=multi-user.target WantedBy=system-update.target
/etc/systemd/system/efistub-update.service
[Unit] Description=Copy EFISTUB Kernel to EFI system partition [Service] Type=oneshot ExecStart=/usr/bin/cp -af /boot/vmlinuz-linux esp/EFI/arch/ ExecStart=/usr/bin/cp -af /boot/initramfs-linux.img esp/EFI/arch/ ExecStart=/usr/bin/cp -af /boot/initramfs-linux-fallback.img esp/EFI/arch/
Затем запустите и включите efistub-update.path
.
ExecStart=/usr/bin/sbsign --key /путь/к/db.key --cert /путь/к/db.crt --output esp/EFI/arch/vmlinuz-linux /boot/vmlinuz-linux
Использование событий файловой системы
События файловой системы можно использовать для запуска скрипта, синхронизирующего ядро EFISTUB после обновления ядра. Ниже приведён пример с использованием incron.
/usr/local/bin/efistub-update
#!/bin/sh cp -af /boot/vmlinuz-linux esp/EFI/arch/ cp -af /boot/initramfs-linux.img esp/EFI/arch/ cp -af /boot/initramfs-linux-fallback.img esp/EFI/arch/
/boot/initramfs-linux-fallback.img
— файл, за которым ведётся наблюдение. Второй параметр IN_CLOSE_WRITE
— отслеживаемое действие. Третий параметр /usr/local/bin/efistub-update
— скрипт для выполнения./etc/incron.d/efistub-update.conf
/boot/initramfs-linux-fallback.img IN_CLOSE_WRITE /usr/local/bin/efistub-update
Включите службу incrond.service
.
Использование хука mkinitcpio
Mkinitcpio может генерировать хук, для работы которого не нужен демон системного уровня. Он порождает фоновый процесс, который ожидает генерации vmlinuz
, initramfs-linux.img
и initramfs-linux-fallback.img
перед копированием файлов.
Добавьте efistub-update
в список хуков в /etc/mkinitcpio.conf
.
/etc/initcpio/install/efistub-update
#!/usr/bin/env bash build() { /usr/local/bin/efistub-copy $$ & } help() { cat <<HELPEOF This hook waits for mkinitcpio to finish and copies the finished ramdisk and kernel to the ESP HELPEOF }
/usr/local/bin/efistub-copy
#!/bin/sh if [ "$1" -gt 0 ] then while [ -e /proc/"$1" ] do sleep .5 done fi rsync -a /boot/ esp/ echo "Synced /boot with ESP"
Использование предустановки mkinitcpio
Поскольку предустановки в /etc/mkinitcpio.d/
поддерживают shell-скрипты, ядро и initramfs могут быть скопированы простым редактированием предустановок.
Замена хука mkinitcpio
Измените файл /etc/mkinitcpio.d/linux.preset
:
/etc/mkinitcpio.d/linux.preset
# mkinitcpio preset file for the 'linux' package # Directory to install the kernel, the initramfs... ESP_DIR="esp/EFI/arch" #ALL_config="/etc/mkinitcpio.conf" ALL_kver="${ESP_DIR}/vmlinuz-linux" [[ -e /boot/intel-ucode.img ]] && cp -af /boot/intel-ucode.img "${ESP_DIR}/" [[ -e /boot/amd-ucode.img ]] && cp -af /boot/amd-ucode.img "${ESP_DIR}/" PRESETS=('default' 'fallback') #default_config="/etc/mkinitcpio.conf" default_image="${ESP_DIR}/initramfs-linux.img" default_options="" #fallback_config="/etc/mkinitcpio.conf" fallback_image="${ESP_DIR}/initramfs-linux-fallback.img" fallback_options="-S autodetect"
Для тестирования выполните:
# rm /boot/initramfs-linux-fallback.img /boot/initramfs-linux.img # mv /boot/vmlinuz-linux esp/EFI/arch/ # mkinitcpio -p linux
Другой пример
/etc/mkinitcpio.d/linux.preset
ESP_DIR="esp/EFI/arch" #ALL_config="/etc/mkinitcpio.conf" ALL_kver="$ESP_DIR/vmlinuz-linux$suffix" PRESETS=('default') default_config="/etc/mkinitcpio.conf" default_image="$ESP_DIR/initramfs-linux$suffix.img"
/etc/mkinitcpio.d/linux-zen.preset
suffix='-zen' source /etc/mkinitcpio.d/linux.preset
Использование хука pacman
Последний вариант полагается на хуки pacman, которые запускаются в конце транзакции.
Первый файл — это хук, который отслеживает соответствующие файлы и запускается, если они были изменены в прошедшей транзакции.
/etc/pacman.d/hooks/999-kernel-efi-copy.hook
[Trigger] Type = Path Operation = Install Operation = Upgrade Target = usr/lib/modules/*/vmlinuz Target = usr/lib/initcpio/* Target = boot/*-ucode.img [Action] Description = Copying linux and initramfs to EFI directory... When = PostTransaction Exec = /usr/local/bin/kernel-efi-copy.sh
Второй файл — собственно копирующий скрипт. Создайте его и сделайте исполняемым:
/usr/local/bin/kernel-efi-copy.sh
#!/bin/sh # # Copy kernel and initramfs images to EFI directory # ESP_DIR="esp/EFI/arch" for file in /boot/vmlinuz* do cp -af "$file" "$ESP_DIR/$(basename "$file").efi" [ $? -ne 0 ] && exit 1 done for file in /boot/initramfs* do cp -af "$file" "$ESP_DIR/" [ $? -ne 0 ] && exit 1 done [ -e /boot/intel-ucode.img ] && cp -af /boot/intel-ucode.img "$ESP_DIR/" [ -e /boot/amd-ucode.img ] && cp -af /boot/amd-ucode.img "$ESP_DIR/" exit 0
Решение проблем
ESP в программном RAID1
Можно сделать ESP частью массива RAID1, но при этом возникает риск повреждения данных, и при создании ESP необходимо принять дополнительные меры. Смотрите [8], [9] и UEFI booting and RAID1 для подробностей.
Ключевым моментом является использование параметра --metadata 1.0
, чтобы сохранить метаданные RAID в конце раздела, иначе прошивка не сможет получить к ним доступ:
# mdadm --create --verbose --level=1 --metadata=1.0 --raid-devices=2 /dev/md/ESP /dev/sdaX /dev/sdbY
Прошивка не видит каталог EFI
Если вы задаёте файловой системе FAT имя тома (то есть метку файловой системы), убедитесь, что оно не совпадает с именем EFI
. Это может вызвать ошибку в некоторых прошивках (из-за совпадения имени тома с именем каталога EFI), которая заставит прошивку вести себя так, как будто каталог EFI не существует.