在 WSL 中使用 Codex 等 CLI 工具的简易隔离配置——防止删盘悲剧

最近在站里看到了很多被 Codex 等 CLI 工具删盘的案例,看怕了。觉得还是扔到 WSL 里面跑安心一点点。但 WSL 并不是一个隔离环境,可以跟 Windows 跨系统互相访问,所以还得配置一下。

简易增加安全性的配置:

修改 WSL 配置文件,加上一段

sudo nano /etc/wsl.conf
[automount]
enabled = false
mountFsTab = true

禁用自动挂载,这样 WSL 就不能访问 Windows 的磁盘,但 Windows 还能访问 WSL 的文件。如果需要用到 VSCode WSL Remote 插件的话,就 sudo nano /etc/fstab 加上

c:/Users/<username>/.vscode/extensions   /mnt/c/Users/<username>/.vscode/extensions    drvfs     defaults,ro   0   0
c:/Users/<username>/vscode-remote-wsl  /mnt/c/Users/<username>/vscode-remote-wsl    drvfs     defaults,ro   0   0

<username> 改成 Windows 的用户名。如果不用 VSCode WSL Remote 还可以在 /etc/wsl.conf 加上

[interop]
enabled = false
appendWindowsPath = false

禁用 Interop 服务,阻止跨系统调用。

以上操作保存完记得在 cmd 运行 wsl --shutdown 重启一下。

标签: none

评论已关闭