Solange irgendeine deiner Libs mit *PUBLIC *USE "geschützt" sind, hast du wirklich keine Chance das mit Bordmitteln zu beschränken.
Du benötigst ein Berechtigungskonzept um alle User für 5250 o.ä. auf die entsprechenden Lib's zuzulassen.
Berechtigungsliste, Application-User, Owner-Ausführung, *ALLOBJ-Berechtigung eliminieren.
Wenn ggf. noch andere "Schnittstellen" (FTP und andere ODBC/JDBC-Zugriffe) existieren so sind diese auch zu berücksichtigen.

Wenn man sich die wirklich heikle Exit-Programmierung sparen will, kann man (mit meiner persönlichen Meinung) wirklich nur PCSACC/400 empfehlen, da hier wirklich alles geprüft und explizit freigegeben werden kann.