Qu'est-ce que l'utilisateur sandbox '_apt' sur mon système?

Question

J'ai lancé rkhunter et découvert un avertissement indiquant qu'un nouvel utilisateur appelé _apt était installé sur mon Ubuntu 16.04.

$ grep _apt /etc/passwd _apt:x:124:65534::/nonexistent:/bin/false

Tout ce que j’ai découvert, c’est qu’il semble que c’est une sorte d’utilisateur de bac à sable pour les "menaces persistantes avancées". Mais qu'est-ce que c'est exactement?

Florian Diesch · Accepted Answer

L'utilisateur _apt est créé par le script postinst du package apt (/var/lib/dpkg/info/apt.postinst):

 # add unprivileged user for the apt methods adduser --force-badname --system --home /nonexistent \ --no-create-home --quiet _apt || true

Il est le propriétaire de /var/cache/apt/archives/partial et /var/lib/apt/lists/partial et est utilisé par APT pour télécharger des packages, une liste de packages, etc.