Log for Ubuntu 台灣社群

#管理公示 與近期的新進成員 Telegram 識別名稱與顯示名稱比對式樣相符 已封鎖

會出現權限警告就是了

因為 apt 不是用 root 在處理套件

那個又沒差

我想我會測試，但會加註警語

因為不是使用在 root 的話，確實有可能產生疑慮，但如果知道風險而同樣以 apt 處理，這樣妥當嗎？

就變成風險自負原則了

不是在用 root(X)
因為 _apt 系統帳號無法存取軟體包所以才用 root 存取(O)

實際上權限是提高的，所以才會有警告訊息

我原本有想說要不要測試後把 apt 賦予可用 sudo 給 軟體包權限，但這樣一律提高，其實會增加風險，就沒有繼續想下去，而且想說測試時按照警語內容提醒一下它的作用

Apt 要對某個軟體操作時本來就需要 root 密碼授權

喔喔！

這樣就相當於未知來源警告

使用者知道來源是官方網站就沒問題

其實我把 deb 放到 /tmp 就沒警告了

我原本以為 apt 去跑 .deb 它的 sudo 警語是有什麼特別的提高權限，但仔細想想， apt 這種做法因為不是從網路上抓清單下載安裝，而且類似自行下載壓縮包並丟入安裝器一樣，這樣安裝器確實得提醒未知來源的安全警告，這樣就用 sudo 無關了

單純只是「自網際網路透過 HTTP 等協議下載軟體包」的操作有安全風險（可能是負責下載的程式碼有安全漏洞之類的）所以近期版本的 APT 特別設計讓那些操作在權限嚴格限制的沙箱中執行而已

基本上你不會自己打自己的系統所以「從自己電腦的別處下載軟體包」的操作是 OK 的

難怪我覺得跟伺服器目錄的 www:data 問題一樣，權限配置需要手動處理