Índice
Quando uma pessoa (ou programa) requer acesso ao sistema, a autenticação confirma a identidade para ser de confiança.
Atenção | |
---|---|
Erros de configuração do PAM podem trancá-lo fora do seu sistema. Terá de ter um CD de recuperação à mão ou arrancar por uma partição de arranque alternativa. Para recuperar, arranque o sistema com eles e corrija a partir daí. |
A autenticação normal de Unix é disponibilizada pelo módulo
pam_unix
(8) sob PAM (Pluggable Authentication
Modules). Os seus 3 ficheiros de configuração importantes, com
entradas separadas por ":
", são os seguintes.
Tabela 4.1. 3 ficheiros de configuração importantes para pam_unix
(8)
ficheiro | permissão | utilizador | grupo | descrição |
---|---|---|---|---|
/etc/passwd |
-rw-r--r-- |
root |
root |
informação da conta do utilizador (filtrada) |
/etc/shadow |
-rw-r----- |
root |
shadow |
informação segura da conta do utilizador |
/etc/group |
-rw-r--r-- |
root |
root |
informação do grupo |
"/etc/passwd
" contém o seguinte.
... user1:x:1000:1000:User1 Name,,,:/home/user1:/bin/bash user2:x:1001:1001:User2 Name,,,:/home/user2:/bin/bash ...
Como explicado em passwd
(5), cada entrada separada por
":
" neste ficheiro significa o seguinte.
Nome de login
Entrada de especificação de palavra-passe
ID numérico do utilizador
ID numérico do grupo
Nome de utilizador ou campo de comentários
Directório home do utilizador
Interpretador de comandos opcional do utilizador
A segunda entrada de "/etc/passwd
" foi utilizada para a
entrada de palavra-passe encriptada. Após a introdução de
"/etc/shadow
", esta entrada é utilizada para a entrada de
especificação da palavra-passe.
Tabela 4.2. A segunda entrada no conteúdo de "/etc/passwd
"
conteúdo | significado |
---|---|
(vazio) | conta sem palavra-passe |
x | a palavra-passe encriptada está em "/etc/shadow " |
"/etc/shadow
" contém o seguinte.
... user1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7::: user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7::: ...
Como explicado em shadow
(5), cada entrada separada por
":
" neste ficheiro significa o seguinte:
Nome de login
Palavra-passe encriptada (O "$1$
" inicial indica o uso de
encriptação MD5. O "*" indica nenhum login.)
Data da última alteração da palavra-passe, expressada a quantidade de dias desde 1 de Janeiro de 1970
Quantidade de dias que o utilizador terá que esperar antes de ser-lhe permitido alterar a palavra-passe outra vez
Quantidade de dias após os quais o utilizador terá que alterar a palavra passe dele
Quantidade de dias antes de uma palavra-passe expirar durante o qual o utilizador deve ser avisado
Quantidade de dias após uma palavra-passe ter expirador durante os quais a palavra-passe deve ainda ser aceite
Data de expiração de uma conta, expressada como a quantidade de dias desde 1 de Janeiro de 1970
…
"/etc/group
" contém o seguinte.
group1:x:20:user1,user2
Como explicado em grupo
(5), cada entrada separada por
":
" neste ficheiro significa o seguinte.
Nome do grupo
Palavra-passe encriptada (na realidade não utilizada)
ID numérico do grupo
lista de nomes de utilizadores, separada por ","
Nota | |
---|---|
" |
Nota | |
---|---|
A quantidade real de membros de um grupo de um utilizador pode ser
adicionada dinamicamente se a linha " |
Nota | |
---|---|
O pacote |
Aqui estão alguns comandos notáveis para gerir informação de conta.
Tabela 4.3. Lista de comandos para gerir informação de conta
comando | função |
---|---|
getent passwd nome_de_utilizador |
navegar na informação da conta de
"nome_de_utilizador " |
getent shadow nome_de_utilizador |
explorar informação confidencial (shadow) da conta de
"nome_de_utilizador |
getent group nome_de_grupo |
navegar na informação do grupo de
"nome_do_grupo " |
passwd |
gerir a palavra-passe da conta |
passwd -e |
definir palavra-passe para uma vez para a activação da conta |
chage |
gerir a informação de envelhecimento da palavra-passe |
Pode necessitar de privilégios de root para algumas funções
funcionarem. Veja crypt
(3) pela encriptação de
palavra-passe e dados.
Nota | |
---|---|
Num sistema configurado com PAM e NSS como a máquina salsa de Debian, o conteúdo dos
" |
Quando criar uma conta durante a instalação do seu sistema ou com o comando
passwd
(1), deve escolher uma boa palavra-passe que consista pelo menos de 6
a 8 caracteres incluindo um ou mais caracteres de cada um dos seguintes
conjuntos de acordo com passwd
(1).
Alfabéticos de minúsculas
Dígitos de 0 a 9
Marcas de pontuação
Atenção | |
---|---|
Não escolha palavras adivinháveis como palavra-passe. O nome de conta, número de segurança social, número de telefone, endereço, data de nascimento, nomes de membros de família ou de animais, palavras do dicionário, sequências simples de caracteres como "12345" ou "qwerty", ... são todas más escolhas para a palavra-passe. |
Existem ferramentas independentes para gerar palavras passe encriptadas com sal.
Tabela 4.4. Lista de ferramentas para gerar palavras-passe
pacote | popcon | tamanho | comando | função |
---|---|---|---|---|
whois
|
V:25, I:251 | 387 | mkpasswd |
frontend cheio de funcionalidades para a biblioteca
crypt (3) |
openssl
|
V:841, I:995 | 2111 | openssl passwd |
computa hashes de palavras-passe (OpenSSL). passwd (1ssl) |
Os sistemas modernos tipo-Unix como o sistema Debian disponibilizam mecanismos PAM (Pluggable Authentication Modules) e NSS (Name Service Switch) para o administrador local configurar o sistema dele. O papel destes pode ser resumido ao seguinte.
O PAM oferece um mecanismo de autenticação flexível utilizado pelo software de aplicações e assim involve trocas de dados de palavra-passe.
O NSS oferece um mecanismo de serviço de nomes flexível que é utilizado
frequentemente pela biblioteca C
standard para obter o nome de utilizador e grupo para programas como
o ls
(1) e o id
(1).
Estes sistemas PAM e NSS necessitam ser configurados de modo consistente.
Os pacotes notáveis dos sistemas PAM e NSS são os seguintes.
Tabela 4.5. Lista de sistemas PAM e NSS notáveis
pacote | popcon | tamanho | descrição |
---|---|---|---|
libpam-modules
|
V:889, I:999 | 984 | Pluggable Authentication Modules (serviço básico) |
libpam-ldap
|
V:0, I:6 | 249 | Pluggable Authentication Module que permite interfaces LDAP |
libpam-cracklib
|
V:0, I:8 | 117 | Pluggable Authentication Module para ativar suporte a cracklib |
libpam-systemd
|
V:571, I:936 | 627 | Pluggable Authentication Module para registar sessões de utilizador para o
logind |
libpam-doc
|
I:0 | 152 | Pluggable Authentication Modules (documentação em html e texto) |
libc6
|
V:917, I:999 | 12988 | GNU C Library: Bibliotecas de partilha que também disponibilizam o serviço "Name Service Switch" |
glibc-doc
|
I:8 | 3503 | Biblioteca GNU C: Manuais (Manpages) |
glibc-doc-reference
|
I:4 | 13841 | Biblioteca GNU C: Manual de referência em info, pdf e html (não-livre) |
libnss-mdns
|
I:510 | 141 | Módulo NSS para resolução de nomes Multicast DNS |
libnss-ldap
|
I:5 | 265 | Módulo NSS para utilizar o LDAP como um serviço nomeador |
libnss-ldapd
|
I:15 | 129 | Módulo NSS para usar o LDAP como um serviço nomeador (nova bifurcação de
libnss-ldap ) |
"O Guia do Administrador do Sistema Linux-PAM" em
libpam-doc
é essencial para aprender configuração do PAM.
A secção "System Databases e Name Service Switch" em
glibc-doc-reference
é essencial para aprender a
configuração do NSS.
Nota | |
---|---|
Pode ver uma lista mais extensa e atual pelo comando " |
Nota | |
---|---|
PAM é a maneira mais básica de inicializar variáveis de ambiente para cada programa com o valor predefinido de todo o sistema. |
Sob systemd, o pacote
libpam-systemd
é instalado para gerir os logins de
utilizador ao registar as sessões de utilizador na hierarquia do grupo de
control do systemd
para logind. veja systemd-logind
(8),
logind.conf
(5),e pam_systemd
(8).
Aqui estão alguns ficheiros de configuração notáveis acedidos pelo PAM e NSS.
Tabela 4.6. Lista de ficheiros de configuração acedidos pelo PAM e NSS
ficheiro de configuração | função |
---|---|
/etc/pam.d/nome_do_programa |
defina a configuração do PAM para o programa
"nome_do_programa "; veja
pam (7) e pam.d (5) |
/etc/nsswitch.conf |
define a configuração NSS com a entrada para cada serviço. Veja
nsswitch.conf (5) |
/etc/nologin |
limita o login de utilizador pelo módulo pam_nologin (8) |
/etc/securetty |
limita a tty ao acesso de root pelo módulo
pam_securetty (8) |
/etc/security/access.conf |
define limites de acesso pelo módulo pam_access (8) |
/etc/security/group.conf |
define a restrição baseada em grupo pelo módulo
pam_group (8) |
/etc/security/pam_env.conf |
define as variáveis de ambiente pelo módulo pam_env (8) |
/etc/environment |
define variáveis de ambiente adicionais pelo módulo
pam_env (8) com o argumento "readenv=1 " |
/etc/default/locale |
define o locale pelo módulo pam_env (8) com o argumento
"readenv=1 envfile=/etc/default/locale " (Debian) |
/etc/security/limits.conf |
define restrição de recursos (ulimit, core, …) pelo módulo
pam_linits (8) |
/etc/security/time.conf |
define a retenção de tempo pelo módulo pam_time (8) |
/etc/systemd/logind.conf |
define a configuração do gestor de login do systemd (veja
logind.conf (5) e
systemd-logind.service (8)) |
A limitação da seleção da palavra-passe é implementada pelos módulos do PAM,
pam_unix
(8) e pam_cracklib
(8). Eles
podem ser configurados com os argumentos deles.
Dica | |
---|---|
Os módulos PAM utilizam o sufixo " |
A moderna gestão de sistema centralizada pode ser implantada a utilizar o servidor centralizado Lightweight diretory Access Protocol (LDAP) para administrar muitos sistemas tipo-Unix e não-tipo-Unix na rede. A implementação de código aberto do Lightweight diretory Access Protocol é o Software OpenLDAP.
O servidor LDAP disponibiliza para o sistema Debian a informação de conta
através do uso de PAM e NSS com os pacotes libpam-ldap
e
libnss-ldap
. São necessárias várias acções para ativar
isto (não utilizei esta configuração e o seguinte é puramente informação
secundária. Por favor leia isto neste contexto.).
Configura um servidor LDAP centralizado ao correr um programa como o daemon
de LDAP autónomo slapd
(8).
Altera os ficheiros de configuração do PAM no diretório
"/etc/pam.d/
" para utilizar
"pam_ldap.so
" em vez do predefinido
"pam_unix.so
".
Debian utiliza "/etc/pam_ldap.conf
" como ficheiro de
configuração para libpam-ldap
e
"/etc/pam_ldap.secret
" como ficheiro para armazenar a
palavra-passe do root.
Altera a configuração do NSS no ficheiro
"/etc/nsswitch.conf
" para usar "ldap
"
em vez da predefinição("compat
" ou
"file
").
Debian utiliza o "/etc/libnss-ldap.conf
" como o ficheiro
de configuração para libnss-ldap
.
Tem de fazer libpam-ldap
para usar a ligação SSL (ou TLS) para a segurança da palavra-passe.
Pode fazer a libnss-ldap
usar ligação SSL (ou TLS) para assegurar a integridade dos dados
à custa de maior sobrecarga da rede LDAP.
Deve correr o nscd
(8) localmente para pôr em cache
quaisquer resultados de busca LDAP de modo a reduzir o tráfego de rede do
LDAP.
Veja as documentações em pam_ldap.conf
(5) e
"/usr/share/doc/libpam-doc/html/
" oferecidas pelo pacote
libpam-doc
e "info libc 'Name Service
Switch'
" oferecida pelo pacote glibc-doc
.
De modo semelhante, pode configurar sistemas centralizados alternativos com outros métodos.
Integração de utilizador e grupo com o sistema Windows.
Aceda a serviços de domínio Windows com
os pacotes winbind
e libpam_winbind
.
Veja winbindd
(8) e Integrar Redes MS Windows com
Samba.
Integração de utilizador e grupo com o sistema antigo tipo-Unix.
Acesso NIS (originalmente chamado
YP) ou NIS+ pelo pacote
nis
.
Veja o Linux NIS(YP)/NYS/NIS+ HOWTO.
Esta é a famosa frase no fundo da antiga página "info su
"
por Richard M. Stallman. Não se preocupe, o comando su
atual em Debian utiliza PAM, portanto esse pode recadeiair a habilidade de
utilizar su
ao grupo root
ao ativar a
linha com "pam_wheel.so
" em
"/etc/pam.d/su
".
Installing the libpam-cracklib
package enables you to
force stricter password rule.
On a typical GNOME system which automatically installs
libpam-gnome-keyring
,
"/etc/pam.d/common-password
" looks like:
# here are the per-package modules (the "Primary" block) password requisite pam_cracklib.so retry=3 minlen=8 difok=3 password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass yescrypt # here's the fallback if no module succeeds password requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around password required pam_permit.so # and here are more per-package modules (the "Additional" block) password optional pam_gnome_keyring.so # end of pam-auth-update config
Nota | |
---|---|
A informação aqui pode não ser suficiente para as suas necessidades de segurança, mas deverá ser um bom começo. |
Muitos serviços de transporte populares comunicam mensagens incluindo a a autenticação de palavra-passe em texto simples. É má ideia transmitir as palavras-passe em texto simples pela Internet onde podem ser interceptadas. Pode correr estes serviços sobre "Transport Layer Security" (TLS) ou o antecessor dele, "Secure Sockets Layer" (SSL) para assegurar toda a comunicação incluindo a palavra-passe pela encriptação.
Tabela 4.7. Lista de serviços e portos inseguros e seguros
nome do serviço inseguro | porto | nome do serviço seguro | porto |
---|---|---|---|
www (http) | 80 | https | 443 |
smtp (mail) | 25 | ssmtp (smtps) | 465 |
ftp-data | 20 | ftps-data | 989 |
ftp | 21 | ftps | 990 |
telnet | 23 | telnets | 992 |
imap2 | 143 | imaps | 993 |
pop3 | 110 | pop3s | 995 |
ldap | 389 | ldaps | 636 |
A encriptação custa tempo de CPU. Como uma alternativa amiga para o CPU, pode manter a comunicação em texto simples enquanto segura apenas a palavra-passe com um protocolo de autenticação de segurança como o "Authenticated Post Office Protocol" (APOP) para POP e "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5) para SMTP e IMAP. (Para enviar mensagens de mail pela Internet para o seu servidor de mail a partir do seu cliente de mail, recentemente é popular utilizar o porto 587 para submissão de novas mensagens em vez do tradicional porto 25 do SMTP para evitar o bloqueio do porto 25 pelo provedor de Internet enquanto se autentica com CRAM-MD5.)
O programa Secure Shell (SSH)
disponibiliza comunicações encriptadas e seguras entre duas máquinas sem
confiança sobre uma rede insegura com a autenticação de segurança. Consiste
no cliente OpenSSH, ssh
(1)
e no daemon OpenSSH,
sshd
(8). Este SSH pode ser utilizado como túnel de
segurança para protocolos de comunicação inseguros como o POP e X pela
Internet com a funcionalidade de reencaminhamento de portos.
O cliente tenta autenticar-se a si próprio a utilizar autenticação baseada na máquina, autenticação de chave pública, autenticação por resposta a desafio, ou autenticação por palavra-passe. O uso de autenticação de chave pública activa o login remoto sem-palavra-passe. Veja Secção 6.3, “O servidor de acesso remoto e utilitários (SSH)”.
Even when you run secure services such as Secure Shell (SSH) and Point-to-point tunneling protocol (PPTP) servers, there are still chances for the break-ins using brute force password guessing attack etc. from the Internet. Use of the firewall policy (see Secção 5.7, “Infraestrutura netfilter”) together with the following security tools may improve the security situation.
Tabela 4.8. Lista de ferramentas para disponibilizar medidas de segurança extra
pacote | popcon | tamanho | descrição |
---|---|---|---|
knockd
|
V:0, I:2 | 110 | small port-knock daemon knockd (1) and client
knock (1) |
fail2ban
|
V:98, I:111 | 2126 | banir IPs que causam vários erros de autenticação |
libpam-shield
|
V:0, I:0 | 115 | bloquear atacantes remotos que tentam adivinhar a palavra-passe |
Para prevenir que pessoas acedam à sua máquina com privilégios de root, precisa de tomar as seguintes acções.
Prevenir acesso físico ao disco rígido
Lock UEFI/BIOS and prevent booting from the removable media
Definir palavra-passe para sessão interactiva do GRUB
Bloquear o menu do GRUB de ser editado
Com acesso físico ao disco rígido, redefinir a palavra-passe é relativamente fácil com os seguintes passos.
Move the hard disk to a PC with CD bootable UEFI/BIOS.
Arrancar o sistema com um suporte de recuperação (disco de arranque Debian, CD Knoppix, CD GRUB, ...).
Montar a partição raiz com acesso de leitura/escrita.
Editar "/etc/passwd
" na partição raiz e esvaziar a
segunda entrada para a conta root
.
Se tiver acesso de edição à entrada do menu do GRUB (veja Secção 3.1.2, “Estágio 2: o gestor de arranque”) grub-rescue-pc
no
momento do arranque, é ainda mais fácil com os seguintes passos.
Arrancar o sistema com o parâmetro de kernel alterado para algo como
"root=/dev/hda6 rw init=/bin/sh
".
Editar "/etc/passwd
" e tornar a segunda entrada para a
conta root
vazia.
Reiniciar o sistema.
A shell de root do sistema está agora acessível sem palavra-passe.
Nota | |
---|---|
Após alguém ter acesso à shell de root, pode aceder a tudo no sistema e
reiniciar quaisquer palavras-passe no sistema. Mais ainda, pode comprometer
a palavra-passe para todas as contas de utilizadores a usar ferramentas de
crack de palavra-passe por força bruta como os pacotes
|
A única solução de software razoável para evitar estas preocupações é usar
uma partição raiz encriptada por software (ou uma partição
"/etc
" a utilizar dm-crypt
e initramfs (veja Secção 9.9, “Dicas de encriptação de dados”). Assim, vai
necessitar sempre de palavra-passe para arrancar o sistema.
There are access controls to the system other than the password based authentication and file permissions.
Nota | |
---|---|
Veja Secção 9.4.16, “Tecla Alt-SysRq” para recadeiair a funcionalidade do kernel chave de atenção segura (SAK). |
ACLs are a superset of the regular permissions as explained in Secção 1.2.3, “Permissões do sistema de ficheiros”.
You encounter ACLs in action on modern desktop environment. When a
formatted USB storage device is auto mounted as, e.g.,
"/media/penguin/USBSTICK
", a normal user
penguin
can execute:
$ cd /media/penguin $ ls -la total 16 drwxr-x---+ 1 root root 16 Jan 17 22:55 . drwxr-xr-x 1 root root 28 Sep 17 19:03 .. drwxr-xr-x 1 penguin penguin 18 Jan 6 07:05 USBSTICK
"+
" in the 11th column indicates ACLs are in action.
Without ACLs, a normal user penguin
shouldn't be able to
list like this since penguin
isn't in
root
group. You can see ACLs as:
$ getfacl . # file: . # owner: root # group: root user::rwx user:penguin:r-x group::--- mask::r-x other::---
Here:
"user::rwx
", "group::---
", and
"other::---
" correspond to the regular owner, group, and
other permissions.
The ACL "user:penguin:r-x
" allows a normal user
penguin
to have "r-x
" permissions.
This enabled "ls -la
" to list directory content.
The ACL "mask::r-x
" sets the upper bound of permissions.
See "POSIX Access Control
Lists on Linux", acl
(5),
getfacl
(1), and setfacl
(1) for more.
O sudo
(8) é um programa desenhado para permitir a um
administrador de sistema dar privilégios de root limitados a utilizadores e
registar a atividade do root. O sudo
necessita apenas da
palavra-passe de um utilizador normal. Instale o pacote
sudo
e active-o ao definir opções em
"/etc/sudoers
". Veja um exemplo de configuração em
"/usr/share/doc/sudo/examples/sudoers
" e Secção 1.1.12, “Configuração do sudo”.
A minha utilização do sudo
para o sistema de único
utilizador (veja Secção 1.1.12, “Configuração do sudo”) destina-se a
proteger-me da minha própria estupidez. Pessoalmente, Considero utilizar o
sudo
uma melhor alternativa do que utilizar o sistema a
partir da conta de root a toda a hora. Por exemplo, o seguinte muda o dono
de "algum_ficheiro
" para
"meu_nome
".
$ sudo chown my_name some_file
Claro que se conhecer a palavra-passe de root (como os utilizadores de
sistemas Debian auto-instalados conhecem), qualquer comando pode ser
executado sob root a partir da conta de qualquer utilizador a usar
"su -c
".
PolicyKit é um componente do sistema operativo para controlar privilégios a nível global em sistemas operativos tipo-Unix.
Aplicações GUI mais recentes não são desenhadas para correr como processos privilegiados. Estas falam com os processos privilegiados através de PolicyKit para executar operações administrativas.
O PolicyKit limita tais operações a contas de utilizador pertencentes ao
grupo sudo
no sistema Debian.
Veja polkit
(8).
Para a segurança do sistema, é uma boa ideia desativar o máximo de programas de serviços possíveis. Isto torna-se crítico em servidores na rede. Ter servidores não utilizados, activados directamente como daemon ou via programa super-server, são considerados riscos de segurança.
Muito programas, como o sshd
(8), utilizam controlos de
acesso baseados no PAM. Existem muitas maneiras de restringir o acesso a
alguns serviços de servidor.
ficheiros de configuração:
"/etc/default/nome_do_programa
"
Systemd service unit configuration for daemon
"/etc/inetd.conf
" para super-server
"/etc/hosts.deny
" e "/etc/hosts.allow
"
para wrapper de TCP,
tcpd
(8)
"/etc/rpc.conf
" para RPC da
Sun
"/etc/at.allow
" e "/etc/at.deny
" para
atd
(8)
"/etc/cron.allow
" e "/etc/cron.deny
"
para crontab
(1)
Firewall de Rede da infraestrutura netfilter
See Secção 3.5, “System management”, Secção 4.5.1, “Ficheiros de configuração acedidos pelo PAM e NSS”, and Secção 5.7, “Infraestrutura netfilter”.
Dica | |
---|---|
Se tem problemas com acesso remoto num sistema Debian recente, comente
configurações ofensivas tais como " |
Linux kernel has evolved and supports security features not found in traditional UNIX implementations.
Linux supports extended attributes
which extend the traditional UNIX attributes (see
xattr
(7)).
Linux divides the privileges traditionally associated with superuser into
distinct units, known as capabilities
(7), which can be
independently enabled and disabled. Capabilities are a per-thread attribute
since kernel version 2.2.
The Linux Security Module (LSM) framework provides a mechanism for various security checks to be hooked by new kernel extensions. For example:
Since these extensions may tighten privilege model tighter than the ordinary Unix-like security model policies, even the root power may be restricted. You are advised to read the Linux Security Module (LSM) framework document at kernel.org.
Linux namespaces wrap a global system
resource in an abstraction that makes it appear to the processes within the
namespace that they have their own isolated instance of the global
resource. Changes to the global resource are visible to other processes
that are members of the namespace, but are invisible to other processes.
Since kernel version 5.6, there are 8 kinds of namespaces (see
namespaces
(7), unshare
(1),
nsenter
(1)).
As of Debian 11 Bullseye (2021), Debian uses unified cgroup hierarchy (a.k.a. cgroups-v2).
Usage examples of namespaces with cgroups to isolate their processes and to allow resource control are:
These functionalities can't be realized by Secção 4.1, “Autenticação normal de Unix”. These advanced topics are mostly out-of-scope for this introductory document.