Update Dockerfile

Dockerfile

@@ -1,17 +1,42 @@
-# 使用 AdGuard Home 官方的最新镜像
-FROM adguard/adguardhome:latest
+# 阶段 1: 从官方镜像获取可执行文件
+FROM adguard/adguardhome:latest as builder
 
-# 关键修正 1: 强制切换到 root 用户。
-# 这将覆盖官方镜像默认的低权限用户，解决所有 "permission denied" 问题。
+# 阶段 2: 使用一个标准的、干净的基础镜像
+FROM debian:bullseye-slim
+
+# 设置一些环境变量，避免在安装时出现交互式提示
+ENV DEBIAN_FRONTEND=noninteractive
+
+# 更新软件包列表并安装 curl 和 ca-certificates
+RUN apt-get update && apt-get install -y curl ca-certificates && rm -rf /var/lib/apt/lists/*
+
+# 从阶段 1 (builder) 复制 AdGuard Home 的可执行文件
+COPY --from=builder /opt/adguardhome/AdGuardHome /opt/adguardhome/AdGuardHome
+
+# --- 关键的权限准备步骤 ---
+# 定义工作和配置目录
+ENV AGH_WORK_DIR=/opt/adguardhome/work
+ENV AGH_CONF_DIR=/opt/adguardhome/conf
+
+# 1. 以 root 身份创建工作目录和配置目录
+RUN mkdir -p ${AGH_WORK_DIR} ${AGH_CONF_DIR}
+
+# --- 运行配置 ---
+# 明确我们正在使用 root 用户 (虽然是默认的，但显式声明更清晰)
 USER root
 
-# 标准的持久化卷和端口声明
+# 声明持久化卷
 VOLUME ["/opt/adguardhome/work", "/opt/adguardhome/conf"]
+
+# 声明端口
 EXPOSE 53/udp 3000/tcp 80/tcp 443/tcp 853/tcp
 
-# 关键修正 2: CMD 只提供参数，绝不包含可执行文件名。
-# 这些参数会被追加到官方镜像的 ENTRYPOINT 后面，形成一个完整、正确的命令。
-CMD ["--no-check-update", \
+# 定义最终的启动命令
+# 我们使用 root 身份运行，并且添加了 --no-permcheck 参数作为双重保险
+# 这个参数在这种情况下可能多余，但加上无害，可以应对任何意外的权限检查逻辑
+CMD ["/opt/adguardhome/AdGuardHome", \
+     "--no-check-update", \
+     "--no-permcheck", \
      "--web-addr", "0.0.0.0:3000", \
      "-c", "/opt/adguardhome/conf/AdGuardHome.yaml", \
      "-w", "/opt/adguardhome/work"]