linuxserver/ungoogled-chromium

linuxserver/ungoogled-chromium

镜像概述

https://github.com/ungoogled-software/ungoogled-chromium 是基于 Google Chromium 开发的浏览器，移除了对 Google 网络服务的依赖，提供增强的隐私保护。LinuxServer.io 团队构建的此 Docker 镜像具有以下特点：

• 定期及时的应用更新
• 简单的用户映射（PGID、PUID）
• 基于 s6 overlay 的自定义基础镜像
• 每周基础 OS 更新，通过通用层减少空间占用、 downtime 和带宽消耗
• 定期安全更新

支持的架构

该镜像利用 Docker manifest 实现多平台支持，拉取 lscr.io/linuxserver/ungoogled-chromium:latest 即可自动获取对应架构的镜像，也可通过标签指定：

应用设置

访问地址

应用可通过以下地址访问：

• [***]

严格反向代理配置

镜像默认使用自签名证书，因此协议为 https。若反向代理验证证书，需禁用对容器的证书检查。

注意：现代 GUI 桌面应用可能与最新 Docker 系统调用限制存在兼容性问题。在较旧内核或 libseccomp 版本的主机上，可使用 --security-opt seccomp=unconfined 参数允许这些系统调用。

安全性

[!WARNING] 此容器提供对主机系统的特权访问。除非已正确配置安全措施，否则不要将其暴露到互联网。

• HTTPS 要求：完整功能需 HTTPS 支持。WebCodecs 等现代浏览器功能在不安全的 HTTP 连接下无法使用。
• 认证机制：默认无认证。可选通过 CUSTOM_USER 和 PASSWORD 环境变量启用基本 HTTP 认证，仅适用于可信局域网。互联网暴露场景强烈建议搭配反向代理（如 https://github.com/linuxserver/docker-swag%EF%BC%89%E4%BD%BF%E7%94%A8%E6%9B%B4 robust 的认证机制。
• 权限风险：Web 界面包含带无密码 sudo 权限的终端，任何访问 GUI 的用户可在容器内获取 root 权限、安装软件或探测本地网络。
• seccomp 配置：老旧硬件或系统可能需禁用默认 seccomp 配置（--security-opt seccomp=unconfined），但此举会降低 Docker 安全性，仅在必要时使用。

Selkies 基础 GUI 容器通用选项

基于 https://github.com/linuxserver/docker-baseimage-selkies%EF%BC%8C%E6%94%AF%E6%8C%81%E4%BB%A5%E4%B8%8B%E7%8E%AF%E5%A2%83%E5%8F%98%E9%87%8F%E5%92%8C%E8%BF%90%E8%A1%8C%E9%85%8D%E7%BD%AE%EF%BC%9A

可选环境变量

可选运行配置

语言支持 - 国际化

通过设置 LC_ALL 环境变量可指定桌面会话语言，例如：

• -e LC_ALL=zh_CN.UTF-8 - 中文
• -e LC_ALL=ja_JP.UTF-8 - 日语
• -e LC_ALL=ko_KR.UTF-8 - 韩语
• -e LC_ALL=ar_AE.UTF-8 - 阿拉伯语
• -e LC_ALL=ru_RU.UTF-8 - 俄语
• -e LC_ALL=es_MX.UTF-8 - 西班牙语（拉丁美洲）
• -e LC_ALL=de_DE.UTF-8 - 德语
• -e LC_ALL=fr_FR.UTF-8 - 法语
• -e LC_ALL=nl_NL.UTF-8 - 荷兰语
• -e LC_ALL=it_IT.UTF-8 - 意大利语

DRI3 GPU 加速

为实现应用/游戏加速，可将渲染设备挂载到容器：

bash
--device /dev/dri:/dev/dri

仅支持以下开源 GPU 驱动：

DRINODE 环境变量可指定特定 GPU。DRI3 在 aarch64 架构上需容器内安装对应芯片组驱动后方可工作。

Nvidia GPU 支持

注意：Alpine 基础镜像不支持 Nvidia。

通过 Zink 可实现 Nvidia GPU 的 OpenGL 支持。当兼容的 Nvidia GPU 被传递到容器时，还将自动用于硬件加速视频流编码（使用 x264enc 全帧配置文件），显著降低 CPU 负载。

启用 Nvidia 支持需以下运行时标志：

Docker Compose 配置需先在主机将 Nvidia 运行时设为默认：

bash
sudo nvidia-ctk runtime configure --runtime=docker --set-as-default
sudo systemctl restart docker

然后在 compose.yaml 中为服务分配 GPU：

yaml
services:
  ungoogled-chromium:
    image: lscr.io/linuxserver/ungoogled-chromium:latest
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities: [compute,video,graphics,utility]

应用管理

容器内安装应用有两种方式：PRoot Apps（推荐，持久化）和 Native Apps（非持久化）。

PRoot Apps（持久化）

通过 apt-get install 等方式安装的原生包在容器重建后不会保留。为确保应用及设置在容器更新后仍保留，建议使用 https://github.com/linuxserver/proot-apps%EF%BC%88%E5%AE%89%E8%A3%85%E5%88%B0%E7%94%A8%E6%88%B7%E6%8C%81%E4%B9%85%E5%8C%96 $HOME 目录的便携应用）。

在容器内通过命令行安装：

bash
proot-apps install filezilla

https://github.com/linuxserver/proot-apps?tab=readme-ov-file#supported-apps%E3%80%82

Native Apps（非持久化）

可通过 https://github.com/linuxserver/docker-mods/tree/universal-package-install mod 从系统原生仓库安装包。此方法会增加容器启动时间且不持久。在 compose.yaml 中添加：

yaml
environment:
  - DOCKER_MODS=linuxserver/mods:universal-package-install
  - INSTALL_PACKAGES=libfuse2|git|gdb

使用方法

Docker Compose（推荐）

yaml
---
services:
  ungoogled-chromium:
    image: lscr.io/linuxserver/ungoogled-chromium:latest
    container_name: ungoogled-chromium
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
      - CHROME_CLI=https://www.linuxserver.io/ # 可选
    volumes:
      - /path/to/config:/config
    ports:
      - 3000:3000
      - 3001:3001
    shm_size: "1gb"
    restart: unless-stopped

Docker CLI

bash
docker run -d \
  --name=ungoogled-chromium \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Etc/UTC \
  -e CHROME_CLI=https://www.linuxserver.io/ `# 可选` \
  -p 3000:3000 \
  -p 3001:3001 \
  -v /path/to/config:/config \
  --shm-size="1gb" \
  --restart unless-stopped \
  lscr.io/linuxserver/ungoogled-chromium:latest

参数说明

容器运行时参数格式为 <外部>:<内部>，例如 -p 8080:80 表示将容器内 80 端口映射到主机 8080 端口。

环境变量文件（Docker Secrets）

可通过特殊前缀 FILE__ 从文件设置环境变量，例如：

bash
-e FILE__MYVAR=/run/secrets/mysecretvariable

将根据 /run/secrets/mysecretvariable 文件内容设置 MYVAR 环境变量。

应用运行 Umask 设置

所有镜像支持通过可选环境变量 -e UMASK=022 覆盖容器内服务的默认 umask 设置。注意 umask 是权限减法而非加法，详情参考 umask 说明。

用户/组标识符（PUID/PGID）

使用卷（-v 标志）时，主机与容器可能出现权限问题。通过指定 PUID（用户 ID）和 PGID（组 ID），确保主机卷目录所有者与指定用户一致即可解决。

使用 id your_user 命令获取当前用户的 PUID 和 PGID：

bash
id your_user

示例输出：

text
uid=1000(your_user) gid=1000(your_user) groups=1000(your_user)

通常设置 PUID=1000 和 PGID=1000 即可。

Docker Mods

![Docker Mods]([] ![Docker Universal Mods]([]

我们发布多种 https://github.com/linuxserver/docker-mods 以扩展容器功能。上方动态徽章链接可查看此镜像及通用 Mods。

支持信息

• 容器运行时 Shell 访问：

  bash
  docker exec -it ungoogled-chromium /bin/bash
  

• 实时监控容器日志：

  bash
  docker logs -f ungoogled-chromium
  

• 容器版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' ungoogled-chromium
  

• 镜像版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/ungoogled-chromium:latest
  

更新信息

大多数镜像为静态版本化，需更新镜像并重建容器以更新内部应用。除非相关 readme.md 特别说明，否则不建议在容器内更新应用。

通过 Docker Compose 更新

• 更新镜像：
  • 所有镜像：

    bash
    docker-compose pull
    

  • 单个镜像：

    bash
    docker-compose pull ungoogled-chromium
    

• 更新容器：
  • 所有容器：

    bash
    docker-compose up -d
    

  • 单个容器：

    bash
    docker-compose up -d ungoogled-chromium
    

• 清理旧镜像：

  bash
  docker image prune
  

通过 Docker Run 更新

• 更新镜像：

  bash
  docker pull lscr.io/linuxserver/ungoogled-chromium:latest
  

• 停止运行中的容器：

  bash
  docker stop ungoogled-chromium
  

• 删除容器：

  bash
  docker rm ungoogled-chromium
  

• 使用相同参数重建容器（若卷映射正确，/config 目录和设置将保留）
• 清理旧镜像：

  bash
  docker image prune
  

镜像更新通知 - Diun（Docker 镜像更新通知器）

[!TIP] 推荐使用 Diun 接收更新通知。不建议或支持使用其他自动更新容器的工具。

本地构建

如需本地修改镜像（开发或自定义）：

bash
git clone https://github.com/linuxserver/docker-ungoogled-chromium.git
cd docker-ungoogled-chromium
docker build \
  --no-cache \
  --pull \
  -