adampielak/CVE-2026-31431_SCA_WAZUH

# Wazuh SCA 策略：Copy Fail (CVE-2026-31431) 此策略文件： - `copy-fail-cve-2026-31431-policy.yml` 旨在检测 **Copy Fail / CVE-2026-31431** 可能的暴露情况及缓解状态。 ## 此策略检查的内容 1. `algif_aead` 已通过 modprobe 策略禁用。 2. `algif_aead` 当前未被加载。 3. 缓解文件存在（`/etc/modprobe.d/disable-algif.conf`）。 4. 内核更新后重启的启发式检查无异常。 5. 尽力而为的 seccomp 控制包含 `AF_ALG`（容器主机）。 ## 为什么这以缓解为优先 对于此 CVE，发行版的后向移植使得使用简单的正则表达式检查进行精确的版本匹配变得不可靠。 因此此 SCA 策略侧重于： - 减少运行时的漏洞利用路径， - 运维补丁的规范性， - 以及容器加固信号。 ## 在 Agent 上部署 将策略复制到： - `/var/ossec/ruleset/sca/copy-fail-cve-2026-31431-policy.yml` 如有需要，在 `/var/ossec/etc/ossec.conf` 中启用 SCA： ``` yes yes 14h /var/ossec/etc/shared/copy-fail-cve-2026-31431-policy.yml ``` 重启 Manager 或 Agent： ``` sudo systemctl restart wazuh-agent ``` ## 临时缓解命令（来自公开指南） ``` echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf sudo rmmod algif_aead 2>/dev/null || true ``` 然后在打补丁的内核更新之后重启。 ## 注意事项 - 检查项 `110005` 在非容器主机上可能显示为**不适用 (Not applicable)**。 - 如果您的环境将 seccomp 配置文件存储在其他路径中，请复制并调整该检查项。 - 如果您需要执行严格的供应商内核软件包检查（特定于 Ubuntu/RHEL/SUSE），请根据包管理器的输出添加针对特定发行版的检查。

标签：AF_ALG, algif_aead, Copy Fail, CVE-2026-31431, Google搜索, modprobe, PB级数据处理, Seccomp, Wazuh, Web截图, Web报告查看器, 内核漏洞, 安全合规, 安全基线, 安全策略, 安全运维, 容器安全, 提示词设计, 教学环境, 漏洞缓解, 系统加固, 网络代理