ADGUARD

!size!5px!pulls!5px!5px!swiss_made

以无root权限（rootless）和无发行版（distroless）方式运行AdGuardHome。

简介 📢

AdGuard Home是一款网络级广告和跟踪拦截软件。设置完成后，它将覆盖您所有的家庭设备，无需任何客户端软件。

概述 📖

此镜像能做什么？ 该镜像以无root权限（rootless）和无发行版（distroless）方式运行AdGuard-Home，以实现最大安全性和性能。

独特价值 💶

为什么选择此镜像而非其他现有镜像？ 好问题！因为...

• ...此镜像以无root权限（rootless）方式运行，用户ID/组ID为1000:1000
• ...此镜像是无发行版（distroless），不含shell
• ...通过CI/CD自动更新至最新版本
• ...包含健康检查
• ...以只读方式运行
• ...发布前后自动扫描漏洞（CVE）
• ...通过安全且固定的CI/CD流程构建
• ...镜像体积非常小
• ...提供amd64、arm64和armv7架构的单一清单

如果您重视安全性、简洁性和极致优化，此镜像可能适合您。

对比 🏁

以下是此镜像与最常用或原始镜像的对比。

默认配置 📑

yaml
dns:
  bind_hosts:
    - 0.0.0.0
  ratelimit: 0
  aaaa_disabled: true
  all_servers: true
  upstream_dns:
    - 9.9.9.10
  bootstrap_dns:
    - 9.9.9.10
  cache_size: ***
  max_goroutines: 1024
  hostsfile_enabled: false
dhcp:
  enabled: false
http:
  address: 0.0.0.0:3000
  session_ttl: 720h
querylog:
  enabled: true
  file_enabled: true
  size_memory: 8
  dir_path: /adguard/var
users:
  - name: admin
    password: $2b$12$xzIFiVMrq2jv5NH5pNNQSuEK84FDNI4PoiJbKIhZqUe1Ld/v1BI9W
auth_attempts: 3
block_auth_min: 60
filtering:
  blocking_mode: nxdomain
  cache_time: 1440
  filters_update_interval: 24
  blocked_response_ttl: 3660
  protection_enabled: true
clients:
  persistent:
    - name: dnslookup
      ids:
        - 127.0.0.1
      ignore_querylog: true
      ignore_statistics: true
log:
  enabled: true
  file: ""
  max_backups: 0
  max_size: 100
  max_age: 3
  compress: false
  local_time: true
  verbose: false
schema_version: 29

默认配置无特殊设置，但包含dnslookup健康检查的例外规则，以避免污染UI或统计数据。建议替换为自定义配置，或使用默认配置启动容器后修改所需设置。若使用下文提到的卷，配置将随您的设置更新。始终建议添加dnslookup例外规则：

yaml
clients:
  persistent:
    - name: dnslookup
      ids:
        - 127.0.0.1
      ignore_querylog: true
      ignore_statistics: true

卷 📁

• /adguard/etc - 配置文件目录
• /adguard/var - 数据库和查询日志文件目录

Docker Compose 配置 ✂️

yaml
name: "dns"

x-lockdown: &lockdown
  # 防止对镜像本身的写访问
  read_only: true
  # 防止容器内进程获取更多权限
  security_opt:
    - "no-new-privileges=true"

services:
  adguard:
    image: "11notes/adguard:0.107.68"
    <<: *lockdown
    environment:
      TZ: "Europe/Zurich"
    volumes:
      - "adguard.etc:/adguard/etc"
      - "adguard.var:/adguard/var"
    tmpfs:
      # 由于read_only: true，需tmpfs卷
      - "/adguard/run:uid=1000,gid=1000"
    ports:
      - "53:53/udp"
      - "53:53/tcp"
      - "3000:3000/tcp"
    networks:
      frontend:
    sysctls:
      # 允许无root容器访问<1024端口
      net.ipv4.ip_unprivileged_port_start: 53
    restart: "always"

volumes:
  adguard.etc:
  adguard.var:

networks:
  frontend:

如需修改容器镜像的默认UID/GID，参考RTFM。

默认设置 🗃️

环境变量 📝

主要标签 🏷️

以下是镜像的主要标签。另有基于提交和sha256简写值的标签。

• 0.107.68
• 0.107.68-unraid

没有latest标签，如何更新？

个人认为:latest标签存在风险。我曾多次对镜像引入破坏性变更，可能导致部分用户环境异常。若不想手动更新至最新语义化版本（semver），可使用semver短版本：无需:0.107.68，可使用:0或:0.107。这些标签会随新版本自动更新，效果类似:latest，但至少固定在主版本或次版本。

若需最新版本，可使用:rolling标签，但请注意：将直接获取应用的最新版本，可能包含破坏性变更或安全问题，风险自负！

镜像仓库 ☁️

docker pull 11notes/adguard:0.107.68
docker pull ghcr.io/11notes/adguard:0.107.68
docker pull quay.io/11notes/adguard:0.107.68

Unraid版本 🟠

本镜像默认支持Unraid。只需在任意标签后添加-unraid，镜像将以99:100（而非1000:1000）运行，避免Unraid环境问题。

源码 💾

• 11notes/adguard

基础镜像 🏛️

本镜像不基于其他发行版镜像，以scratch为基础层，包含以下无发行版（distroless）层：

• *** - 包含用户、时区和根CA证书，无其他内容
• ***:dnslookup - DNS查询工具

构建依赖 🧰

• AdGuardHome

通用建议 📌

• 使用反向代理（如Traefik、Nginx、HAproxy）终止TLS并保护端点
• 使用Let’s Encrypt DNS-01挑战获取有效SSL证书

注意事项 ⚠️

• 本镜像默认配置包含默认管理员密码。请务必修改密码或使用自定义配置。

ElevenNotes™️

本镜像仅供参考，风险自负。更新镜像版本前请务必备份。查看发布说明了解破坏性变更。使用中遇到问题请提交issue。如有疑问或建议，请创建讨论而非issue。所有仓库见GitHub。

创建于24.10.2025, 07:13:36 (CET)