Docker Pi-hole容器权限问题分析与解决方案

问题背景

在使用Docker部署Pi-hole时，用户从Windows迁移到Ubuntu系统后，遇到了无法修改配置的问题，具体表现为"read only database"错误。该问题与容器内文件系统的权限设置密切相关，特别是在跨平台迁移时容易发生权限继承异常。

核心问题分析

通过调试日志发现，关键问题在于宿主机挂载卷的ACL（访问控制列表）权限异常：

1. 异常权限标志：日志显示数据库文件权限标记为-rw-rw-r--+，末尾的+表示存在额外的ACL规则
2. 权限冲突：容器内Pi-hole服务（用户pihole）无法写入这些文件，尽管表面权限显示可读写
3. 网络隔离现象：当移除数据卷时，虽然权限问题消失，但DNS查询无法正常处理，出现"ignoring query from non-local network"警告

解决方案

步骤一：清除异常ACL规则

在宿主机上执行以下命令，清除挂载目录的ACL规则：

sudo setfacl -b -R ./etc-pihole/

步骤二：设置标准权限

参考容器内部的标准权限配置：

sudo chown -R 1000:1000 ./etc-pihole/  # 匹配PIHOLE_UID/GID
sudo chmod -R 664 ./etc-pihole/*       # 基础文件权限
sudo chmod 775 ./etc-pihole/           # 目录可执行权限

步骤三：验证关键文件权限

确保以下核心文件具有正确权限：

• pihole-FTL.db：-rw-rw-r--（用户/组pihole可写）
• gravity.db：-rw-rw-r--（用户/组pihole可写）
• 目录本身：drwxrwsr-x（组可写+粘滞位）

技术原理深度解析

1. ACL与基础权限的交互：Linux系统中，ACL规则会覆盖传统权限设置，跨平台文件系统挂载可能导致ACL规则异常继承

2. Docker权限映射机制：

   • 容器内用户(pihole)通过UID/GID映射到宿主机用户
   • 当宿主机的文件权限包含特殊标记（如ACL）时，可能破坏这种映射关系

3. 网络隔离问题：移除数据卷后出现的DNS查询失败，实际上是因为缺少持久化配置导致Pi-hole无法正确处理本地网络请求

最佳实践建议

1. 迁移时的权限预处理：跨平台迁移Pi-hole数据时，应先清理原权限设置
2. 最小权限原则：避免使用777权限，应精确设置用户/组权限
3. 调试方法论：
   • 先验证无数据卷的基础功能
   • 逐步添加挂载卷并检查权限
   • 使用ls -lah命令观察特殊权限标记

通过正确理解Linux权限体系和Docker的卷挂载机制，可以有效解决这类Pi-hole部署中的配置问题，确保广告过滤服务稳定运行。