在 tso-mvs 中阻止 isrddn

Posted 2023-02-16

【中文标题】在 tso-mvs 中阻止 isrddn

【英文标题】：Blocking isrddn in tso-mvs

【发布时间】：2017-03-13 13:29:24

【问题描述】：

我们有兴趣为某些用户阻止 isrddn。我们正在尝试在不创建自己的外壳的情况下做到这一点，isrddn 里面有什么可以帮助的吗？最简单的方法是什么？谢谢！

【问题讨论】：

阻止访问 ISRDDN 的目的是什么？您要解决的实际问题是什么？

ISRDDN 也有另一个名字，DDLIST，现在是 ISPF 支持的功能。

即使您阻止访问 ISRDDN，用户仍然可以运行 TSO LISTALC 命令来获取相同的信息。

继 David Crayford 所说的之后，有关分配文件的信息通常在内存中，因此即使没有 DDLIST、TSO LISTALC 等，知识渊博的用户也可以通过多种方式遍历所有分配的文件。这是“通过默默无闻的安全”，在我看来，这绝不是一个好主意 - 更好地控制你真正想要保护的行为。

【参考方案1】：

您可以使用出口 3/4（选择开始和结束出口）。出口 3 可用于检查 SELECT PGM(ISRDDN)，然后进行某种授权检查以查看是否允许用户运行 pgm。如果未设置 rc=8（或 16）以授权失败终止 SELECT 服务。这将是使用 ISPF 的方法。也可能有通过您的安全软件的方法。 SELECT PGM(ISRDDN) 将为 ISRDDN 生成一个 LINK SVC，因此 LINK 宏中的挂钩可以进行安全检查。 ISRDDN 不仅仅是 LISTALC 功能，通过查看教程可以看出。请记住，ISPF 不是授权代码，“聪明”的程序员可以编写自己的例程来做同样的事情。

【讨论】：

听听 为什么 OP 想要阻止 ISRDDN 会很有趣，但这听起来是正确的做法。

只是关于 DDLIST/ISRDDN 的注释。它包含许多 TASID 的功能，因为它是由同一开发人员编写的。例如，您可以从 DDLIST 中输入 BROWSE、LOAD、LPA、ENQ 和其他各种主要命令。您可以使用 BROWSE 动态浏览存储中的控制块。 DDLIST 在调试中非常有用。正如 Valerie 提到的那样，阻止 ISRDDN 并不能真正阻止知识渊博的用户在其他地方获得相同的信息。他们只需要更加努力。