Bundesamt für Sicherheit in der Informationstechnik

G 3.73 Fehlbedienung der z/OS-Systemfunktionen

Während des Betriebs des z/OS-Systems sind von Zeit zu Zeit Eingriffe durch die Bediener (Operators), wie Anpassungen von RACF-Einstellungen oder anderen Systemdefinitionen, erforderlich.

Aufgrund der Komplexität des z/OS-Betriebssystems und seiner Komponenten lassen sich Fehlbedienungen durch die Bediener nicht vollständig ausschließen. Je nach Art der Fehlbedienung können in der Folge einzelne Komponenten oder das gesamte System ausfallen. Nachfolgend sind einige typische Beispiele für Fehlbedienungen aufgeführt.

Unbeabsichtigter Neustart über die Hardware Management Console (HMC)

Der Neustart eines Systems kann über die HMC angefordert werden. Zur Auswahl des Systems genügt ein einfaches Anklicken des System-Icons, danach muss nur noch die Funktion ausgewählt werden (z. B. Initial ProgramLoad). Nach Bestätigung einer entsprechenden Rückfrage führt dieser Vorgang umgehend zum Neustart des ausgewählten Systems. Alle laufenden Prozesse werden unkontrolliert beendet. Eine Verwechselung der Systeme kann hierdurch schwerwiegende Folgen nach sich ziehen.

Da in der HMC auch Gruppen von Systemen zusammengefasst werden können, bis hin zu allen z/OS-Systemen eines Rechenzentrums, können weite Bereiche der Informationsverarbeitung betroffen sein.

Fehler beim JES3 DSI (Dynamic System Interchange)

Das Job Entry Subsystem JES3 gestattet den Betrieb eines Systemverbunds, der aus einem Global-Rechner und verschiedenen Local-Rechnern bestehen kann. Auf alle Rechner im Verbund (Global und Local) werden unter der Kontrolle des Global-Rechners vor allem Batch-Jobs automatisch verteilt und dann dort ausgeführt (ähnlich wie bei einem Parallel-Sysplex-Cluster, jedoch auf JES3 beschränkt). Der Global-Rechner übernimmt dabei die zentrale Kontrolle des gesamten Lebenszyklus des Batch-Jobs, wie z. B. Interpretation der Job Control Language, Systemzuordnung, Ressourcenkontrolle, Output-Management usw.

Zur Übernahme der Funktion des Global-Rechners auf einen Local-Rechner sind eine Reihe von Systemfragen zu beantworten. Falsche Angaben können im Extremfall zu einem IPL (Initial Program Load) aller Systeme des Verbunds führen.

Sperrung von z/OS-Kennungen

Kennungen mit dem Attribut Special erzeugen bei mehrmaliger aufeinander folgender Falscheingabe des Passwortes während der Anmeldung eine Konsol-Nachricht (Reply). Das Bedienpersonal (Operator) kann entscheiden, ob diese Kennung gesperrt werden soll. Werden im Extremfall, z. B. bei einer DoS -Attacke, alle Kennungen mit dem Attribut Special gesperrt (z. B. durch Automatismen), existiert auf diesem System keine Kennung mehr, die RACF bedienen kann. Das Sicherheitssystem ist dann in sich gesperrt.

Offline-Setzen von Platten

Ein versehentliches Offline-Setzen einer Platte kann gravierende Auswirkungen, bis hin zum Totalausfall des Systems, haben.

Löschen der Default Program Class in RACF

Wird versehentlich (z. B. durch Tippfehler) das Stern-Profil der Klasse Program gelöscht, kann dies zum Stillstand des Systems führen. Ein IPL hilft nicht weiter, da dadurch die Fehlerursache nicht beseitigt wird. Es muss erst die RACF-Datenbank bereinigt werden. Ein solcher Fehler kann einen stundenlangen Ausfall des kompletten Systems und einen erheblichen Aufwand für die Fehlerbeseitigung bedeuten.

Weiterleiten von fehlerhaften RACF Kommandos

Wenn ein System in eine RACF-Kommando-Synchronisierung (z. B. RACF Remote Sharing Facility - RRSF) eingebunden ist, kann ein fehlerhaftes RACF-Kommando alle anderen Systeme dieses Verbundes betreffen. Wird beispielsweise das Löschen der Default Program Class via RRSF übertragen, kann dies zum Stillstand aller Systeme im jeweiligen RRSF-Verbund führen.

Fehlbedienung vordefinierter Programm-Funktionstasten

Auch durch die Benutzung vordefinierter Programm-Funktionstasten kann es unter Umständen zu Sicherheitsproblemen kommen. Besondere Sorgfalt ist z. B. geboten, wenn Funktionstasten mit Kommandos belegt werden, die vor der Ausführung noch um bestimmte Werte ergänzt werden müssen. Hier besteht die Gefahr, dass der Operator die Funktionstaste versehentlich drückt, ohne eine Ergänzung einzugeben. Wenn das entsprechende Kommando auch ohne Ergänzung syntaktisch korrekt ist, wird es ausgeführt und bewirkt unter Umständen unerwünschte Effekte oder sogar enorme Schäden.

Falscheingaben im Allgemeinen

Generell besteht immer die Gefahr der Falscheingaben. Soll z. B. eine System-Task (oder ein Batch-Job) gestoppt werden und der Bediener vertippt sich, so kann es vorkommen, dass auf Grund von ähnlichen Jobnamen der falsche Job gestoppt wird. Das Gleiche gilt für den Gebrauch von System Kommandos.

Wird z. B. beim Inaktivieren von SNA-Knoten statt eines einzelnen Terminal-Namens versehentlich der Cross Domain Manager-Name eingegeben, so bedeutet dies den Verlust aller SNA Sessions dieser Domain. Nach dem Neustart des Knotens müssen sich die Anwender neu einloggen und die SNA-Verbindung zum System neu aufbauen.

Verriegelung von Ressourcen

Bei einer gegenseitigen Verriegelung von Ressourcen (Enqueue Contention) können Funktionen so lange nicht verfügbar sein, bis die Verriegelung wieder gelöst wird. Oft sind eine Reihe von System-Abfragen (Displays) und viel Betriebserfahrung notwendig, um gegenseitige Verriegelungen mit Hilfe der richtigen MVS-Kommandos wieder aufzulösen.

Unbeabsichtigte Eingabe des Befehls "Z EOD"

Wird an einer MVS-Master-Konsole während des Betriebs der Befehl Z EOD eingegeben, wird dieses System kontrolliert heruntergefahren. Alle Prozesse werden beendet und müssen neu aufgesetzt werden. Dieser Vorgang und der damit verbundene Betriebsausfall dauert in der Regel mindestens 30 Minuten.

Stand: Stand 2005