为什么大多数Linux包下载默认都是在沙箱下运行,取消su权限?
例如在 debian 上
W: Download is performed unsandboxed as root as file
...
请详细说明一下与此密切相关的沙箱问题?
答案1
下载文件不需要任何特殊权限,因此如果可以的话,apt
请放弃执行此操作的权限。有许多条件需要满足:配置的“降低权限”用户(_apt
默认情况下)必须存在,必须允许写入下载目标,并且在某些情况下,必须允许从“下载”中读取”源(当涉及复制文件而不是从远程主机下载时)。如果不满足这些条件,apt
则会退回到以 root 身份下载,而不是完全中止操作。
apt
可以使用外部下载帮助程序(/usr/lib/apt/methods
默认情况下),这使得特权下降变得更加有趣。
最新版本apt
还可以使用 seccomp 过滤,但默认情况下禁用,因为它在某些 Debian 架构上失败。