> Ещё как можно: есть apt(-get) install и пакеты, установленные автозависимостями, внезапно, превращаются в установленные по требованию, соответственно, перестает работать autoremove. Не говоря уже о том, что все стопиццот пакетов ты будешь перечислять вручную, и не забывай проверять при каждом обновлении (вручную же) не надо ли обновить что-то еще.
> А ещё есть apt pinning
еще есть много совершенно бесполезных слов, имеющих опосредованное отношение к управлению пакетами, но ни малейшего - к описанной в исходном сообщении проблеме.
а есть системы управления пакетами, отличные от apt, где всех этих высосанных из пальца проблем нет, как и необходимости миллиона костыликов и подкладочек, чтобы как-то их обойти, а есть, к примеру, "zypper patch -g security" или даже --severity critical, если неохота тратиться на всякую мелочь. Без необходимости вручную перечислять пакетики поштучно, смотри-не-пропусти-ничего, и без риска получить апдейты всегоинтернета размером больше чем исходный образ, и нафиг не нужные. И есть понятие update единичного пакета, отличающееся от install.
А, да, еще за ними не надо потом чистить в /var совершенно ненужные контейнеру временные хранилища скачанных пакаджей и прочий хлам, они сами за собой прибирают, если специально не просить обратное.
но вы продолжаете использовать свою все-еще-немного-совсем-почти-уже-еще-не-готовую-для-десктопа убунточку, и категорически не желаете научиться ничему другому. Поэтому и контейнеры приходится собирать из нее.