ほとんどのLinuxパッケージのダウンロードがデフォルトでサンドボックスで実行され、su権限を取り消すのはなぜですか?
例えば Debian では
W: Download is performed unsandboxed as root as file...
これに密接に関連するサンドボックスの問題について詳しく説明しますか?
答え1
ファイルをダウンロードするには特別な権限が必要ないため、可能であればapt権限を放棄してください。満たす必要があるいくつかの条件があります。設定された「制限された権限」ユーザー(_aptデフォルトでは)が存在し、ダウンロード先に書き込むことができ、場合によっては「ダウンロード」で読み取ることができます。ソース(リモートホストからダウンロードするのではなく関連ファイルをコピーする場合)。これらの条件が満たされていない場合は、apt操作を完全に中断せずにrootとしてダウンロードします。
apt外部ダウンロードアシスタントを使用できるため(/usr/lib/apt/methodsデフォルトでは)権限の低下がさらに面白くなります。
最新バージョンではaptseccompフィルタリングも利用できますが、デフォルトでは無効になっています。一部の Debian アーキテクチャでは失敗します。。