home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / os / vms / 14591 < prev    next >
Encoding:
Internet Message Format  |  1992-09-03  |  15.8 KB
  1. Path: sparky!uunet!spool.mu.edu!uwm.edu!linac!att!ucbvax!TOTO.LAAFB.AF.MIL!SHUTTERS_WC
  2. From: SHUTTERS_WC@TOTO.LAAFB.AF.MIL
  3. Newsgroups: comp.os.vms
  4. Subject: Answers about image accounting
  5. Message-ID: <9209041011.AA06925@ucbvax.Berkeley.EDU>
  6. Date: 3 Sep 92 16:47:00 GMT
  7. Sender: daemon@ucbvax.BERKELEY.EDU
  8. Distribution: world
  9. Organization: The Internet
  10. Lines: 342
  11.  
  12. I wish to express my heartfelt thanks to all the following people who responded
  13. to my question concerning image accounting on our VAXen.
  14.  
  15. Carl J Lydick
  16. Stephen Tihor
  17. Bob Marshall
  18. Arne Vajhxj
  19. Isaac Traxler
  20. Jerry Leichter
  21. Dan Neff
  22.  
  23. After reading and considering all the responses, I think we will turn image
  24. accounting off.
  25.  
  26. A compilation of all received responses is below.
  27.  
  28. --------------------------------------------------------------------------------
  29. From: Carl J Lydick <carl@SOL1.GPS.CALTECH.EDU>
  30.  
  31. In article <9209012202.AA28872@ucbvax.Berkeley.EDU>, you write:
  32. >A question for all you INFO-VAXers.
  33. >
  34. >Since time immemorial, the VAXen here at our site have been performing image
  35. >accounting.  Recently we have come into a bit if a disk space crunch; it was
  36. >suggested that we could save a lot of disk space if we turned off image
  37. >accounting.  I am evaluating that suggestion, primarily from a security
  38. >standpoint. 
  39. >
  40. >Basic facts concerning our system:
  41. >
  42. >- It services military personnel, so security is important.
  43. >- We do not "charge" organizations for computer time or images activated.
  44. >- We do perform fairly comprehensive security auditing.
  45. >
  46. >My questions:
  47. >
  48. >1.  How useful would image accounting records be in the case of a breach in
  49. >system security?  I have noted that even the ACCOUNTING/FULL report does not
  50. >show a whole lot of useful information about what was actually being done by
  51. >the activated image.
  52.  
  53. Image accounting records don't tell you a whole lot about security breaches. 
  54. There are only a few situations in which they might be useful:
  55.     1)  Someone uses one of the standard DEC utilities (e.g., SDA,
  56.         AUTHORIZE, etc.) when they shouldn't.  Accounting records can't
  57.         tell whether they actually DID anything with these utilities, just
  58.         that they used them.
  59.     2)  You've found a suspect image on your system (e.g., somebody's
  60.         patched a privileged image so as to subvert it) and you want to
  61.         know what account[s] actually try to use the subverted image.
  62.  
  63. >2.  Is there any way to get further information about a specific image
  64. >activation that was recorded by image accounting?  If more specific information
  65. >cannot be obtained about the various accounting entries, I can't see the point
  66. >in creating them.
  67.  
  68. The point in creating image accounting records usually isn't security, it's
  69. system tuning.  You can enable image accounting for a short period of time,
  70. then look at the accounting records and find out what images are heavily used
  71. and therefore should be put in a special place on a disk and/or INSTALLed.
  72. --------------------------------------------------------------------------------
  73.  
  74. From: tihor@acf3.NYU.EDU (Stephen Tihor)
  75.  
  76. For security purposes image accounting can be replaced by paranoid mode auditing
  77. but that is even a larger use of space.   What you get from iamge account is 
  78. (assuming the accounting file was not tampered with):
  79.  
  80. hacked into account XXX
  81. XXX ran LOGINOUT
  82. XXX ran DIRECTORY
  83. XXX ran DELETE
  84. --------------------------------------------------------------------------------
  85.  
  86. From: Bob Marshall O/67-92 B/561 x65737
  87.       <marshall@force.ssd.lmsc.lockheed.com>
  88.  
  89. In article <9209012202.AA28872@ucbvax.Berkeley.EDU>, you write:
  90. >Since time immemorial, the VAXen here at our site have been performing image
  91. >accounting.  Recently we have come into a bit if a disk space crunch
  92.  
  93. Gee, what a surprise when you have image accounting enabled!
  94.  
  95. ; it was
  96. >suggested that we could save a lot of disk space if we turned off image
  97. >accounting.
  98.  
  99. Definitely. I've never heard of anyone turning on image accounting
  100. permanently.
  101.  
  102. >I am evaluating that suggestion, primarily from a security standpoint. 
  103.  
  104. You'd be better off using the VMS audit analysis tools to do this. I won't
  105. go into all the details here since they are in the security manual. 
  106. Briefly, though, what you will have to do is identify the particular
  107. images in which you interested in securing; the manuals can help you
  108. with this.
  109.  
  110. If you are interested in gathering pure accounting data for the usage of
  111. certain software products, you should identify the particular images
  112. of interest and INSTALL them with the /ACCOUNTING switch. E.g.,
  113.  
  114. $ INSTALL
  115. INSTALL> ADD FORTRAN.EXE/ACCOUNTING
  116.  
  117. Then you can use the ACCOUNTING/TYPE=IMAGE command to get image utilization
  118. information for the selected images. In fact, you could maybe even use this
  119. technique to satisfy your security requirements. But the audit analysis
  120. tools are better, since they will also record *FAILED* attempts to access
  121. a specified image (e.g., AUTHORIZE).
  122. --------------------------------------------------------------------------------
  123.  
  124. From: Arne Vajhxj <ARNE@ko.hhs.dk>
  125.  
  126. > Since time immemorial, the VAXen here at our site have been performing image
  127. > accounting.  Recently we have come into a bit if a disk space crunch; it was
  128. > suggested that we could save a lot of disk space if we turned off image
  129. > accounting.
  130.  
  131. The accounting files are growing more than without image accounting.
  132. The relative overhead depends on the ration between image-activations
  133. and process-creations.
  134.  
  135. But please note, that image accounting also takes performance. It is often
  136. recommended only to put image accouting on specific images (via INSTALL) instead
  137. of a general approach.
  138.  
  139. >             I am evaluating that suggestion, primarily from a security
  140. > standpoint.
  142. > Basic facts concerning our system:
  144. > - It services military personnel, so security is important.
  145. > - We do not "charge" organizations for computer time or images activated.
  146. > - We do perform fairly comprehensive security auditing.
  148. > My questions:
  150. > 1.  How useful would image accounting records be in the case of a breach in
  151. > system security?  I have noted that even the ACCOUNTING/FULL report does not
  152. > show a whole lot of useful information about what was actually being done by
  153. > the activated image.
  154.  
  155. Well - you can what images they have been using !  Usefull ?  Depends !
  156.  
  157. Consider a breakin using:
  158.  
  159. DIRECTORY.EXE
  160. SHOW.EXE
  161.  
  162. and a breakin using:
  163.  
  164. FORTRAN.EXE
  165. LINK.EXE
  166. whatsoever.EXE
  167.  
  168. and a breakin using:
  169.  
  170. AUTHORIZE.EXE
  171. INSTALL.EXE
  172.  
  173. which one will make you most worried ?
  174.  
  175. > 2.  Is there any way to get further information about a specific image
  176. > activation that was recorded by image accounting?  If more specific information
  177. > cannot be obtained about the various accounting entries, I can't see the point
  178. > in creating them.
  179.  
  180. Probably not. VMS is a rather secure OS and designed for not allowing anyone
  181. to get so far, that this breakin-intrusion is relevant.
  182.  
  183. A few ideas:
  184.   - You can put security alarms on special sensitive data-file, so you can
  185.     log all accesses to them (both failure and success).
  186.   - You can monitor the output to terminal with a WATCH utility, if you
  187.     have a suspect (I do not think it would be effeicient to implement a
  188.     automatic logging of all interactive sessions).
  189. --------------------------------------------------------------------------------
  190.  
  191. From: Isaac Traxler -- LSU VAX Systems Programmer <TRAXLER@LSUVAX.SNCC.LSU.EDU>
  192.  
  193.     Image accounting can at least tell you whaty they have run.
  194.  
  195.     But seriously, I have the same problem on a different scale.  I run an 
  196. 8800 & 30+ workstations in a student environment and have always had a disk 
  197. space problem.  Believe me, security on a student accessed machine is a big 
  198. problem.  Recently some of the students started trying to breakin to other 
  199. peoples systems.  The only way I could track this was to turn outgoping TELNET 
  200. logging on.  This created a new disk space hog.  Since breakin complaints from 
  201. other system managers sometimes take a week or so to get here, I was facing yet 
  202. another disk space consumer and nowhere to put it.  My solution was to analyze 
  203. the output file and condense the messages.  This reduced the output size by 
  204. two-thids.  I now keep 1 week of raw messages and 3 weeks of condensed messages.
  205.     I am in the process of doing the same thing for the Operator.log.  Since 
  206. I have a number of audits enabled, my Operator.Log gets rather large and 
  207. perusing it on a daily basis to make sure nothing really bad is going on takes a 
  208. good bit of time.  My first cut at dividing up the Operator.log and condensing 
  209. it reduced my perusal time by over 50% without any loss of useful information.  
  210. In other words, there are lots of things in log files that are not needed and 
  211. they can be squeezed out.
  212.     Now for your immediate problem.  The following suggestions come to mind:
  213. 1) Staart new accounting files more oftem (maybe daily) and back off the older 
  214. ones to tapekeeping maybe a weeks worth of accounting online.  This is a real 
  215. operational pain and may not be what you want.
  216. 2) Write code to process accounting records, extract what you want and then blow 
  217. away the original accounting files.  Sounds ugly buit can be done.  One of my 
  218. other part-time projects is to process our accounting records and to send 
  219. reformatted accounting system to the IBM so they can charge users.  I have been 
  220. using Fortran and its not to bad, once you figure the record structure out.  The 
  221. back of the accounting manual is right but sure could use a little more text 
  222. explaining stuff.
  223. 3) Use the accounting utility to translate the raw records into formatted text 
  224. stored in a file and then write code to process the formatted output.  A pain, 
  225. but many people currently do this for Authorize and Disk Quota output (including 
  226. me).
  227. 4) Disable image accounting and just not know certain facts (the mode I am 
  228. forced into).  You can use the audit functions to log a lot of nifty information 
  229. (Of course that info uses disk space also).
  230.  
  231.     If I can be of any help, please let me know.  I realize all of the 
  232. answers that don't lose information require programming which brings maintenance 
  233. along with it.  As with all things, problems can be solved with hardware, 
  234. software or some combination of both (but you always have to have more of 
  235. something).  The good news is that DEC knows that people process the output of 
  236. their programs (Authorize, Disk Quota, Operator.Log, Accounting, etc.) and they 
  237. try to hold changes to a minimum.
  238. --------------------------------------------------------------------------------
  239.  
  240. From: Jerry Leichter <leichter@lrw.com>
  241.  
  242.     Since time immemorial, the VAXen here at our site have been performing
  243.     image accounting.  Recently we have come into a bit if a disk space
  244.     crunch; it was suggested that we could save a lot of disk space if we
  245.     turned off image accounting.  I am evaluating that suggestion,
  246.     primarily from a security standpoint. 
  247.  
  248.     Basic facts concerning our system:
  249.  
  250.     - It services military personnel, so security is important.
  251.     - We do not "charge" organizations for computer time or images
  252.         activated.
  253.     - We do perform fairly comprehensive security auditing.
  254.  
  255.     My questions:
  256.  
  257.     1.  How useful would image accounting records be in the case of a
  258.     breach in system security?  I have noted that even the ACCOUNTING/FULL
  259.     report does not show a whole lot of useful information about what was
  260.     actually being done by the activated image.
  261.  
  262.     2.  Is there any way to get further information about a specific image
  263.     activation that was recorded by image accounting?  If more specific
  264.     information cannot be obtained about the various accounting entries, I
  265.     can't see the point in creating them.
  266.  
  267. While I could imagine some rare circumstances in which it might be useful (if
  268. you knew, after the fact, that some process had been run by an intruder, you
  269. can at least check what images it had run), in general image accounting is
  270. there for purposes like charging and statistics gathering, not security.
  271. The actual accounting packet for an image accounting entry is documented in
  272. the Accounting Utility manual.  What's in there is a full identification of
  273. the process (including "privileges held by the process", but it isn't clear
  274. whether this is the authorized, enabled, or current privilege mask); a snap-
  275. shot of resources used so far by the process; and the full file spec of the
  276. image file.  As far as I can tell, all the information available will be
  277. displayed by a /FULL display of the record.
  278.  
  279. While you can tell, but examining successive records for a given process, how
  280. much CPU time, how many disk I/O's, and so on the image used, at least
  281. approximately, there's no information to be had about WHAT it did with those
  282. resources.  (BTW, I say "approximately" because the record is written at image
  283. rundown, and simply summarizes total process resource usage, not incremental
  284. usage.  If a process ran image A, then played around in DCL for a while, then
  285. ran image B, you'd be able to determine resource usage after A and after B,
  286. hence total usage between the time A completed and the time B completed; but
  287. you would have not way to determine how much of the usage occured while B was
  288. active, and how much was due to mucking around in DCL.  Since it's quite
  289. possible to do things like examine and update SYSUAF.DAT from DCL (if you have
  290. the appropriate access to the file, of course), image accounting is inherently
  291. unable to give you any real picture of what is going on within a phase of the
  292. process's life that is as critical to security as any other.
  293.  
  294. You can get much more useful information by setting alarm ACL's on sensitive
  295. files.
  296.  
  297. I suppose the real bottom line is:  If you have a security problem, every
  298. bit of information is potentially useful.  The question is, how much are you
  299. willing to pay for this information, knowing that it is likely to have rather
  300. limited usefulness?  The tradeoff is inherently very site dependent.
  301.  
  302. (I know of one site that insists on full image accounting so that reports on
  303. image usage statistics can be sent to upper-level managers who have been
  304. receiving analogous reports from their IBM mainframes since time immemorial.
  305. As far as anyone can tell, no one ever looks at these reports.)
  306. --------------------------------------------------------------------------------
  307.  
  308. From: raxco!dan.dnet!dln@uunet.UU.NET (Dan Neff)
  309.  
  310. RE: Questions about VMS image accounting
  311.  
  312. > .
  313. > .
  314. > .
  316. > My questions:
  318. > 1.  How useful would image accounting records be in the case of a breach in
  319. > system security?  I have noted that even the ACCOUNTING/FULL report does not
  320. > show a whole lot of useful information about what was actually being done by
  321. > the activated image.
  322.  
  323.   It could be helpful in determining the extent and perhaps the location of any
  324. damage/compromise that occurred. Ie: if AUTHORIZE was run, then you might want
  325. to restore an older version of sysuaf.dat. Or an application program, where you
  326. know (or can find) the target files.
  327.  
  328. >
  329. >
  330. > 2.  Is there any way to get further information about a specific image
  331. > activation that was recorded by image accounting?  If more specific information
  332. > cannot be obtained about the various accounting entries, I can't see the point
  333. > in creating them.
  334. >
  335.   Not really. I agree. I recommend replacing IMAGE accounting with security
  336. alarms - refer to the "Guide to VMS System Security" to implement ACE's and the
  337. Audit Server. You will need to define an ACE for each image that a user can run-
  338. but in a secure environment, you want to keep a rein on what users can access
  339. anyway. This results in a binary trail on the audit file that occupies less
  340. disk space than ACCOUNTNG.dat and you can also have it generate an Operator 
  341. message which gives you a better chance of doing something while they are logged
  342. in, rather than the next day. You'll still need to manage your disk consumption,
  343. however. 
  344. --------------------------------------------------------------------------------
  345.  
  346.  
  347.  
  348. Capt Chris Shutters, Air Force Space    | shutters_wc@toto.laafb.af.mil
  349. Command, Falcon AFB, CO (719)-550-2618  | shutterswc@space.laafb.af.mil
  350. All opinions are my own - nobody else likes them!
  351. Two bits, four bits, six bits, a buck; come on cheerleaders, give us a cheer!
  352.  
  353.  
  354.