WSL2 与 Windows 文件权限隔离及按需挂载指南

在使用 WSL2 (Windows Subsystem for Linux) 时，理解 Windows 与 Linux 之间的“边界感”是确保系统安全且高效开发的关键。本备忘录将指导你如何从默认的“全开放”模式切换到“高度安全”的按需挂载模式。

1. WSL2 文件挂载的默认设置：便利与风险

默认情况下，当你安装完 WSL2，它会自动将 Windows 的所有磁盘分区（C:, D: 等）挂载到 Linux 的 /mnt/ 目录下。

* 方便之处：

* 无缝访问：你可以直接在 Linux 终端通过 cd /mnt/c 访问 Windows 的桌面、下载文件夹。

* 环境变量共享：你可以在 Linux 中直接输入 notepad.exe 打开记事本，或调用 Windows 的 gitpython 命令。

* 安全性隐患：

* 权限穿透：Linux 中的 root 用户或带有 sudo 权限的进程，如果运行了误删指令（如 rm -rf /mnt/c），将直接抹除 Windows 宿主机的数据。

* 潜在外溢：在 Linux 下运行的不信任脚本可以遍历你的整个 C 盘，窃取浏览器 Cookie、SSH 密钥或植入恶意程序到 Windows 启动项。

2. 设置“完全隔离”：解除全局挂载

为了实现最高的安全性，我们需要切断 WSL2 自动访问 Windows 的所有路径。

操作步骤 (PowerShell + Linux)

1. 在 WSL 中编辑配置文件：

sudo nano /etc/wsl.conf

2. 粘贴以下内容：

[automount]
enabled = false      # 禁止自动挂载 C、D 盘等
mountFsTab = false   # 忽略 /etc/fstab 挂载项

[interop]
enabled = false      # 禁止在 Linux 中启动 Windows .exe 程序
appendWindowsPath = false # 禁止将 Windows 路径加入 Linux PATH 环境变量

3. 保存并立即退出 WSL（Ctrl+O, Enter, Ctrl+X）。

4. 在 Windows PowerShell 中强制重启 WSL：

wsl --shutdown

原理解析

automount：控制 WSL 启动时是否扫描并连接宿主机的分区。设置为 false 后/mnt/c 目录将变为空。

interop：控制两个系统的“互操作性”。关闭后，Linux 与 Windows 之间的指令通道被切断，彻底防止操作指令“外溢”。

3. 按需授权：挂载特定 Windows 文件夹

当你偶尔需要处理 Windows 下的某个文件时，可以通过“按需手动挂载”的方式，在墙上开一扇受控的“窗户”。

手动挂载步骤

假设你需要访问 Windows 路径 C:\MyProject：

1. 创建挂载点（插座）：

使用 -p 参数可以确保递归创建目录，即使父目录不存在也不会报错。

sudo mkdir -p /mnt/share

2. 执行挂载（开窗）：

• 注意：Windows 路径必须放在**单引号**中，以防止反斜杠 \ 和空格引起歧义。

# 挂载为可读写模式
sudo mount -t drvfs 'C:\MyProject' /mnt/share

# 【推荐】挂载为“只读”模式，防止 Linux 误删 Win 文件
sudo mount -t drvfs 'C:\MyProject' /mnt/share -o ro

3. 使用完毕后断开（关窗）：

sudo umount /mnt/share

核心提示

• 单文件挂载：在 WSL 环境下，极其不推荐直接挂载单个 .txt 文件，因为底层协议兼容性较差，容易失败。建议挂载该文件所在的子文件夹。

• 路径习惯：挂载后的文件夹内容会直接出现在 /mnt/share 下，无需再寻找 C/ 等前缀。

4. 最佳实践：使用 VS Code 跨界开发

即使你禁用了所有的自动挂载，VS Code 依然能为你提供最完美的平衡体验。

底层原理

vs code的核心运行在wsl的linux上，而图形化界面则跑在windows上

它不依赖文件路径的挂载指向 Windows，而是直接通过 socket 通信读写 Linux 内部文件。

操作方式

1. 安装插件：在 Windows 端的 VS Code 安装 "WSL" 扩展。

2. 建立连接：点击 VS Code 左下角的蓝色图标，选择 "Connect to WSL"。

3. 像原生一样编辑：此时你虽然在 Windows 界面操作，但 VS Code 是通过内部协议直接读写 Linux 内部的文件系统。

带来的好处

• 代码隔离：你的代码可以完全放在 Linux 内部（如 ~/projects），不与 Windows 文件系统产生物理接触，避免权限冲突。

• 体验无损：你依然可以享受 Windows 下优秀的图形化界面、插件和快捷键，而不用在 Linux 终端里痛苦地使用 nano 或 vi。

• 单向透明：维持了“Windows 可以看 Linux，但 Linux 不能动 Windows”的防御阵型。