Im Hinblick auf die Ablaufsicherheit des Systems und der installierten Produkte ist beim Einsatz des Standardschutzes (Default-Protection) Folgendes zu beachten:
Für Dateien, die von Anwendungen oder Systemkomponenten angelegt werden, dürfen keine Standardwerte vergeben werden, die einen Lese- oder Schreibzugriff durch die Produkte selbst verbieten.
Die aktiven Regelbehälter mit allen referenzierten Attribut- und Benutzerkennungsguards müssen zugreifbar sein. Ansonsten wird die entsprechende Datei- oder Jobvariablenbearbeitung mit Fehlermeldung DMS05B5 bzw. JVS044C abgewiesen.
Der Standardschutz ist während der Startup- und Shutdown-Phase ausgeschaltet.
Der Standardschutz ist während eines Pubsetimports oder -exports für das betroffene Pubset ausgeschaltet.
Hinweise für nichtprivilegierte Anwender
Für Dateien mit dem Präfix “S.” bzw. “SYS*” sollten keine Standardschutzregeln festgelegt werden. Falls Schutzattribut-Standardwerte festgelegt werden, die den Zugriff auf diese Dateien verhindern, können folgende Probleme auftreten:
Es können keine primären SYSOUT-Dateien und keine temporären Spool-Dateien angelegt werden.
Das Starten von Enter-Aufträgen ist nicht möglich, weil dabei die primäre SYSOUT-Datei “S.OUT.<tsn>” angelegt werden muss.
Hinweise für die Systemverwaltung
Die Hinweise für nichtprivilegierte Anwender gelten auch für die Systemverwaltung und insbesondere bei der Verwendung pubsetglobaler Regelbehälter. Zusätzlich sollten bei der Verwendung dieser Regelbehälter auch keine Standardschutzregeln für Dateien und Jobvariablen mit dem Präfix “SYS*” (z.B. “SYSLOG.”-Dateien) festgelegt werden.
Außerdem ist Folgendes zu beachten:
In einem Verbund von Rechnern muss die Rechnerumgebung aufeinander abgestimmt sein. Insbesondere wird bei einem Einsatz von SECOS auf einem Rechner im Rechnerverbund dringend empfohlen, auch auf allen anderen beteiligten Rechnern SECOS mit derselben Version einzusetzen.
Der Entzug von Zugriffsrechten für “S.”-Dateien auf dem Home-Pubset führt insbesondere zum Beenden der Job-Scheduler während des System-Startups.
Die Kennung SYSSAG sollte von der Vergabe von Standardwerten über den Standardschutz ausgenommen werden, da diese Kennung von IMON bei der Produktinstallation verwendet wird.
Die folgende Tabelle enthält eine Aufstellung besonders kritischer Dateien und Jobvariablen und der betroffenen Produkte:
Produkt/ | Typ | Objekt | Problem |
JobScheduler | Datei | $<userid>.S.OUT.<tsn>* | Beendigung, wenn kein Zugriff auf |
SPOOL | Datei | $<userid>.S.LST.<tsn>* | Kein Anlegen von Spool-Dateien |
POSIX | Datei | $TSOS.S.IN.SINPRC.POSINST.<vers>.<tsn>* | Abbruch POSIX-Erstinstallation |
Datei | $SYSROOT. SYSLOG.POSIX-BC.<vers>.INIT | Abbruch POSIX-Start | |
Memory | Datei | :<catid>:$TSOS.SYS.PAGING.<vsn> | Löschen der Paging-Datei nicht möglich |
SIR | Datei | :<catid>:$TSOS.SIR.TEMPORARY-FILE.<tsn> | Kein Extend-Pubset mit Copy bei SIR |
SystemDump | Datei | $SYSDUMP.<modulname> | DumpFile kann nicht erzeugt bzw. |
MSCF | JV | $TSOS.SYS.PVS.<catid>.MASTER.CONTROL | Import für Shared Pubset bricht ab |
Datei | $TSOS.SYS.MSCF-TRACE.<datum> | MSCF-Tracedatei kann nicht angelegt werden. | |
DSSM | Datei | $TSOS.DSSMLOG.<date>.<time> | Kein DSSM-Logging |
HSMS | JV | $SYSHSMS.SYS.HSM.MIGRATE.<catid> | Migration kann nicht gestartet werden |
ARCHIVE | Datei | :<catid>:$TSOS.ARCHIVE* | Kein Schreiben in Archiv |
IMON | File | $SYSSAG.*. Mit den Endungen | IMON-Installation wird abgebrochen |