Update Dockerfile

Dockerfile

@@ -1,15 +1,49 @@
-# 使用 AdGuard Home 官方的最新镜像
-FROM adguard/adguardhome:latest
+# 阶段 1: 从官方镜像获取可执行文件
+FROM adguard/adguardhome:latest as builder
 
-# 声明端口
-EXPOSE 53/udp 3000/tcp 80/tcp 443/tcp 853/tcp
+# 阶段 2: 使用一个标准的、干净的基础镜像 (debian)
+FROM debian:bullseye-slim
+
+# 设置一些环境变量，避免在安装时出现交互式提示
+ENV DEBIAN_FRONTEND=noninteractive
+
+# 更新软件包列表并安装 curl 和 ca-certificates (用于健康检查和网络请求)
+RUN apt-get update && apt-get install -y curl ca-certificates && rm -rf /var/lib/apt/lists/*
+
+# 从阶段 1 (builder) 复制 AdGuard Home 的可执行文件
+COPY --from=builder /opt/adguardhome/AdGuardHome /opt/adguardhome/AdGuardHome
+
+# --- 关键的权限准备步骤 ---
+# 定义 AdGuard Home 的工作和配置目录
+ENV AGH_WORK_DIR=/opt/adguardhome/work
+ENV AGH_CONF_DIR=/opt/adguardhome/conf
+
+# 1. 创建一个名为 'adguard' 的非 root 用户和组，这模仿了官方镜像的行为
+RUN groupadd -r adguard && useradd -r -s /bin/false -g adguard adguard
 
-# 设置持久化卷
+# 2. 创建工作目录和配置目录
+RUN mkdir -p ${AGH_WORK_DIR} ${AGH_CONF_DIR}
+
+# 3. 创建一个空的配置文件，这是绕过“首次启动”检查的关键！
+RUN touch ${AGH_CONF_DIR}/AdGuardHome.yaml
+
+# 4. 将这些目录和文件的所有权交给 'adguard' 用户
+RUN chown -R adguard:adguard ${AGH_WORK_DIR} ${AGH_CONF_DIR} /opt/adguardhome
+
+# --- 运行配置 ---
+# 切换到非 root 用户来运行程序，这是安全最佳实践
+USER adguard
+
+# 声明持久化卷，Hugging Face 会将这里的目录映射到持久化存储
 VOLUME ["/opt/adguardhome/work", "/opt/adguardhome/conf"]
 
-# 最终的、包含了权限绕过参数的启动命令
-# --no-permcheck: 解决首次启动时的权限问题，这是关键！
-CMD ["--no-permcheck", \
+# 声明端口
+EXPOSE 53/udp 3000/tcp 80/tcp 443/tcp 853/tcp
+
+# 定义最终的启动命令
+# 由于我们已经切换到 adguard 用户，程序会以这个用户的身份运行
+# 我们不再需要 --no-permcheck，因为权限问题已经被手动解决了
+CMD ["/opt/adguardhome/AdGuardHome", \
      "--no-check-update", \
      "--web-addr", "0.0.0.0:3000", \
      "-c", "/opt/adguardhome/conf/AdGuardHome.yaml", \