11notes/adguard

ADGUARD

!size!https://github.com/11notes/defaults/blob/main/static/img/transparent5x2px.png?raw=true!pulls!https://github.com/11notes/defaults/blob/main/static/img/transparent5x2px.png?raw=true%5B](https://github.com/11notes/docker-adguard/issues)!https://github.com/11notes/defaults/blob/main/static/img/transparent5x2px.png?raw=true!swiss_made

以无root权限（rootless）和无发行版（distroless）方式运行AdGuardHome。

简介 📢

AdGuard Home是一款网络级广告和跟踪拦截软件。设置完成后，它将覆盖您所有的家庭设备，无需任何客户端软件。

概述 📖

此镜像能做什么？ 该镜像以https://github.com/11notes/RTFM/blob/main/linux/container/image/rootless.md%E5%92%8Chttps://github.com/11notes/RTFM/blob/main/linux/container/image/distroless.md%E6%96%B9%E5%BC%8F%E8%BF%90%E8%A1%8CAdGuard-Home%EF%BC%8C%E4%BB%A5%E5%AE%9E%E7%8E%B0%E6%9C%80%E5%A4%A7%E5%AE%89%E5%85%A8%E6%80%A7%E5%92%8C%E6%80%A7%E8%83%BD%E3%80%82

独特价值 💶

为什么选择此镜像而非其他现有镜像？ 好问题！因为...

• ...此镜像以https://github.com/11notes/RTFM/blob/main/linux/container/image/rootless.md%E6%96%B9%E5%BC%8F%E8%BF%90%E8%A1%8C%EF%BC%8C%E7%94%A8%E6%88%B7ID/%E7%BB%84ID%E4%B8%BA1000:1000
• ...此镜像是https://github.com/11notes/RTFM/blob/main/linux/container/image/distroless.md%EF%BC%8C%E4%B8%8D%E5%90%ABshell
• ...通过CI/CD自动更新至最新版本
• ...包含健康检查
• ...以只读方式运行
• ...发布前后自动扫描漏洞（CVE）
• ...通过安全且固定的CI/CD流程构建
• ...镜像体积非常小
• ...提供amd64、arm64和armv7架构的单一清单

如果您重视安全性、简洁性和极致优化，此镜像可能适合您。

对比 🏁

以下是此镜像与最常用或原始镜像的对比。

默认配置 📑

yaml
dns:
  bind_hosts:
    - 0.0.0.0
  ratelimit: 0
  aaaa_disabled: true
  all_servers: true
  upstream_dns:
    - 9.9.9.10
  bootstrap_dns:
    - 9.9.9.10
  cache_size: 1073741824
  max_goroutines: 1024
  hostsfile_enabled: false
dhcp:
  enabled: false
http:
  address: 0.0.0.0:3000
  session_ttl: 720h
querylog:
  enabled: true
  file_enabled: true
  size_memory: 8
  dir_path: /adguard/var
users:
  - name: admin
    password: $2b$12$xzIFiVMrq2jv5NH5pNNQSuEK84FDNI4PoiJbKIhZqUe1Ld/v1BI9W
auth_attempts: 3
block_auth_min: 60
filtering:
  blocking_mode: nxdomain
  cache_time: 1440
  filters_update_interval: 24
  blocked_response_ttl: 3660
  protection_enabled: true
clients:
  persistent:
    - name: dnslookup
      ids:
        - 127.0.0.1
      ignore_querylog: true
      ignore_statistics: true
log:
  enabled: true
  file: ""
  max_backups: 0
  max_size: 100
  max_age: 3
  compress: false
  local_time: true
  verbose: false
schema_version: 29

默认配置无特殊设置，但包含dnslookup健康检查的例外规则，以避免污染UI或统计数据。建议替换为自定义配置，或使用默认配置启动容器后修改所需设置。若使用下文提到的卷，配置将随您的设置更新。始终建议添加dnslookup例外规则：

yaml
clients:
  persistent:
    - name: dnslookup
      ids:
        - 127.0.0.1
      ignore_querylog: true
      ignore_statistics: true

卷 📁

• /adguard/etc - 配置文件目录
• /adguard/var - 数据库和查询日志文件目录

Docker Compose 配置 ✂️

yaml
name: "dns"

x-lockdown: &lockdown
  # 防止对镜像本身的写访问
  read_only: true
  # 防止容器内进程获取更多权限
  security_opt:
    - "no-new-privileges=true"

services:
  adguard:
    image: "11notes/adguard:0.107.68"
    <<: *lockdown
    environment:
      TZ: "Europe/Zurich"
    volumes:
      - "adguard.etc:/adguard/etc"
      - "adguard.var:/adguard/var"
    tmpfs:
      # 由于read_only: true，需tmpfs卷
      - "/adguard/run:uid=1000,gid=1000"
    ports:
      - "53:53/udp"
      - "53:53/tcp"
      - "3000:3000/tcp"
    networks:
      frontend:
    sysctls:
      # 允许无root容器访问<1024端口
      net.ipv4.ip_unprivileged_port_start: 53
    restart: "always"

volumes:
  adguard.etc:
  adguard.var:

networks:
  frontend:

如需修改容器镜像的默认UID/GID，参考https://github.com/11notes/RTFM/blob/main/linux/container/image/11notes/how-to.changeUIDGID.md#change-uidgid-the-correct-way%E3%80%82

默认设置 🗃️

环境变量 📝

主要标签 🏷️

以下是镜像的主要标签。另有基于提交和sha256简写值的标签。

• https://hub.docker.com/r/11notes/adguard/tags?name=0.107.68
• https://hub.docker.com/r/11notes/adguard/tags?name=0.107.68-unraid

没有latest标签，如何更新？

个人认为:latest标签存在风险。我曾多次对镜像引入破坏性变更，可能导致部分用户环境异常。若不想手动更新至最新语义化版本（semver），可使用semver短版本：无需:0.107.68，可使用:0或:0.107。这些标签会随新版本自动更新，效果类似:latest，但至少固定在主版本或次版本。

若需最新版本，可使用:rolling标签，但请注意：将直接获取应用的最新版本，可能包含破坏性变更或安全问题，风险自负！

镜像仓库 ☁️

docker pull 11notes/adguard:0.107.68
docker pull ghcr.io/11notes/adguard:0.107.68
docker pull quay.io/11notes/adguard:0.107.68

Unraid版本 🟠

本镜像默认支持Unraid。只需在任意标签后添加-unraid，镜像将以99:100（而非1000:1000）运行，避免Unraid环境问题。

源码 💾

• https://github.com/11notes/docker-adguard

基础镜像 🏛️

本镜像不基于其他发行版镜像，以https://hub.docker.com/_/scratch%E4%B8%BA%E5%9F%BA%E7%A1%80%E5%B1%82%EF%BC%8C%E5%8C%85%E5%90%AB%E4%BB%A5%E4%B8%8B%E6%97%A0%E5%8F%91%E8%A1%8C%E7%89%88%EF%BC%88distroless%EF%BC%89%E5%B1%82%EF%BC%9A

• https://github.com/11notes/docker-distroless/blob/master/arch.dockerfile - 包含用户、时区和根CA证书，无其他内容
• https://github.com/11notes/docker-distroless/blob/master/dnslookup.dockerfile - DNS查询工具

构建依赖 🧰

• https://github.com/AdguardTeam/AdGuardHome

通用建议 📌

• 使用反向代理（如Traefik、Nginx、HAproxy）终止TLS并保护端点
• 使用Let’s Encrypt DNS-01挑战获取有效SSL证书

注意事项 ⚠️

• 本镜像默认配置包含默认管理员密码。请务必修改密码或使用自定义配置。

ElevenNotes™️

本镜像仅供参考，风险自负。更新镜像版本前请务必备份。查看https://github.com/11notes/docker-adguard/releases%E4%BA%86%E8%A7%A3%E7%A0%B4%E5%9D%8F%E6%80%A7%E5%8F%98%E6%9B%B4%E3%80%82%E4%BD%BF%E7%94%A8%E4%B8%AD%E9%81%87%E5%88%B0%E9%97%AE%E9%A2%98%E8%AF%B7%E6%8F%90%E4%BA%A4https://github.com/11notes/docker-adguard/issues%E3%80%82%E5%A6%82%E6%9C%89%E7%96%91%E9%97%AE%E6%88%96%E5%BB%BA%E8%AE%AE%EF%BC%8C%E8%AF%B7%E5%88%9B%E5%BB%BAhttps://github.com/11notes/docker-adguard/discussions%E8%80%8C%E9%9D%9Eissue%E3%80%82%E6%89%80%E6%9C%89%E4%BB%93%E5%BA%93%E8%A7%81https://github.com/11notes?tab=repositories%E3%80%82

创建于24.10.2025, 07:13:36 (CET)