> Если правильно помню, то не сработает mkdev, такое namespaces не
> позволяют. Так что готовить образы должен root. Дальше их уже может
> распаковывать обычный пользователь, поэтому --template download успешно
> работает.
>
> Неужели в Debian для этого не приспособили fakeroot?
Я думаю, никому особенно это не надо. Хотя для меня когда-то тоже стало
неожиданностью, что так нельзя.
Если создается привилегированный контейнер, то с правами root все будет
работать. А fakeroot дает дополнительные накладные расходы - надо
сначала создавать дерево файловой системы во временном месте, и уже
потом распаковывать его в namespace. В этом смысле готовые образы типа
download проще.
То, что download проще, не обсуждается. Мой комментарий-вопрос относился именно к готовке образа. Ведь вы написали: "готовить образы должен root". Вот я и предположил, что если вы всё-таки дошли до готовки, то нет никакой нужды на самом деле в том, чтобы это был root.