CentOS Linux release 8.5.2111下的CVE-2026-31431 Linux内核提权漏洞处置

corpse20102026-05-20 9:32

问题介绍:https://mp.weixin.qq.com/s/rQqox72o5Vp2FnCDmgfaHw

CentOS 8.5,内核 4.18.0-348.el8受 CVE-2026-31431 高危影响 ;CentOS 8 官方已停更、无官方补丁,需做:先临时阻断 → 再升级修复内核 → 重启 → 加固

一、紧急临时缓解(立刻执行,root)

1. 永久禁用 algif_aead(重启仍生效)

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

2. 卸载已加载模块 rmmod algif_aead 2>/dev/null

3. 验证:无输出即成功 lsmod | grep algif_aead

二、修复方案

迁移到兼容发行版(长期稳定)

CentOS 8 → Rocky Linux 8 / AlmaLinux 8(官方已发布修复补丁)。

1. 先清空所有 repo(彻底干净)

复制代码 
rm -rf /etc/yum.repos.d/*

2. 一键创建 纯 vault 源(无 mirrorlist,绝对能用)

复制代码 
cat > /etc/yum.repos.d/CentOS-Vault.repo <<'EOF'
[baseos]
name=CentOS Linux 8 - BaseOS
baseurl=http://vault.centos.org/8.5.2111/BaseOS/x86_64/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

[appstream]
name=CentOS Linux 8 - AppStream
baseurl=http://vault.centos.org/8.5.2111/AppStream/x86_64/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

[extras]
name=CentOS Linux 8 - Extras
baseurl=http://vault.centos.org/8.5.2111/extras/x86_64/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial
EOF

3. 清理缓存 + 重建

复制代码 
dnf clean all
dnf makecache

成功标志

复制代码 
CentOS Linux 8 - BaseOS
CentOS Linux 8 - AppStream
CentOS Linux 8 - Extras
元数据缓存已建立。

4、用 AlmaLinux 迁移(最稳,不挑环境)

复制代码 
cd /tmp
curl -O https://raw.githubusercontent.com/AlmaLinux/almalinux-deploy/master/almalinux-deploy.sh
chmod +x almalinux-deploy.sh
bash almalinux-deploy.sh

5、重启系统生效//根据业务情况处置!!!

复制代码 
reboot

6、验证迁移成功 + 修复 CVE-2026-31431 漏洞

复制代码 
cat /etc/redhat-release
# 输出:AlmaLinux release 8.10 (Cerulean Parchment)

uname -r
# 内核版本 >= 4.18.0-513.5.1.el8_10 即已修复 CVE-2026-31431
相关推荐
江华森3 小时前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森3 小时前
Matplotlib 数据绘图基础入门
运维
XIAOHEZIcode3 小时前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
江华森3 小时前
NumPy 数值计算基础入门
运维
唐青枫5 小时前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao2 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐3 天前
Linux内存扩容指南
linux
zylyehuo4 天前
Linux 彻底且安全地删除文件
linux
用户805533698034 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297914 天前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05Trae国际版与国内版深度测评:AI原生IDE的双生花06飞书长连接_事件订阅(接收消息,审批任务状态变更)07Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析08GitHub 镜像站点092026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?102026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)