Агент и комуникация

Една команда. Напълно защитено.

Агентът на CASTOVIA се инсталира за под 60 секунди, обработва сигурността автоматично и комуникира с CASTOVIA Cloud през криптирани канали. Няма ръчни firewall правила, няма SSH ключове, няма VPN.

Обяснение на инсталационната команда

Точно какво се случва, когато стартирате едноредовия инсталатор на вашия Linux сървър.

Какво прави командата

Едноредовата инсталационна команда, която копирате от административното табло на CASTOVIA, изпълнява следните стъпки на вашия Linux сървър:

Изтегля бинарния файл на CASTOVIA агента (~15 MB) от официалния CDN

Проверява подписа на бинарния файл (SHA-256 + GPG), за да предотврати подмяна

Създава специализиран системен потребител: castovia-agent (без shell за вход, без sudo)

Инсталира бинарния файл в /opt/castovia/agent

Създава конфигурационната директория /etc/castovia/ с ограничени права (0700)

Записва сървърния токен (уникален за всеки възел) в /etc/castovia/token.conf

Регистрира агента като systemd услуга: castovia-agent.service

Стартира услугата и активира автоматичното стартиране при boot

Извършва първоначално ръкостискане с CASTOVIA Cloud, за да регистрира възела

Реалната команда

Командата, която виждате в административното табло, изглежда така:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN е уникален токен за еднократна употреба, генериран за всеки възел. Изтича след 24 часа, ако не бъде използван.

Какво агентът НЕ прави

Ясни граници. Агентът е умишлено ограничен по обхват.

Не отваря входящи портове на вашия сървър

Не променя firewall правилата ви (iptables, nftables, firewalld)

Не инсталира и не променя SSH ключове

Не достъпва други приложения на вашия сървър

Не изпраща съдържанието на потоците през сървърите на CASTOVIA (потоците остават във ВАШАТА мрежа)

Не съхранява лични данни на абонатите на възела

Не изисква VPN или специална мрежова конфигурация

Не работи като root след първоначалната инсталация

Сигурност — вградена, а не добавена впоследствие

Всяка мярка за сигурност е автоматична. Не е нужна ръчна конфигурация.

Удостоверяване със сървърен токен

автоматично

Всеки възел получава уникален, криптографски случаен сървърен токен (256-bit). Този токен се генерира в админа на CASTOVIA, когато създадете възел. Използва се веднъж при регистрация и след това се заменя от ротиран TLS клиентски сертификат.

TLS 1.3 криптиране

автоматично

Цялата комуникация между агента и CASTOVIA Cloud използва TLS 1.3. Агентът валидира сертификатната верига на CASTOVIA срещу закрепен root CA — без доверие в системното хранилище за сертификати. Атаки тип man-in-the-middle не са възможни.

Изисквания към firewall

автоматично

Агентът се нуждае само от изходящ HTTPS (порт 443) към CASTOVIA Cloud. Не е необходимо да се отварят входящи портове. Правилата на firewall-а на вашия сървър остават недокоснати — агентът не променя iptables, nftables или firewalld.

Не е нужен root достъп по време на работа

автоматично

Агентът работи като специализиран непривилегирован потребител (castovia-agent). Root е необходим само по време на инсталация (за създаване на systemd услугата). По време на работа той използва минимални права — достъп за четене до източниците на потоците и достъп за запис до собствената си кеш директория.

Автоматично ротиранe на сертификати

автоматично

Клиентските сертификати се ротират на всеки 7 дни. Агентът се грижи за подновяването прозрачно. Ако сертификат изтече (напр. сървърът е бил офлайн), агентът използва защитен процес на повторно записване, който изисква одобрение в админа на CASTOVIA.

Мониторинг на състоянието и самовъзстановяване

автоматично

Агентът следи собственото си състояние. Ако се срине, systemd го рестартира в рамките на 5 секунди. Ако не може да достигне CASTOVIA Cloud, той продължава да обслужва кешираната конфигурация и поставя метриките на опашка за по-късно изпращане.

Протокол за комуникация

Как се движат данните между вашия сървър и CASTOVIA Cloud.

CASTOVIA Cloud → Агент (push на конфигурация)

Конфигурации на потоци (source URL-и, профили за транскодиране, графици за запис)

Фрагменти от Nginx конфигурация за обслужване на медии

Правила за catch-up и timeshift

EPG данни и лога на каналите

Присвояване на пакети/букети

Актуализации на правата за абонати

Технически: Конфигурацията се доставя като подписани JSON payload-и. Агентът валидира всеки payload преди прилагане. Няма raw SQL, няма shell команди — само структурирана конфигурация.

Агент → CASTOVIA Cloud (телеметрия)

Състояние на сървъра: CPU, RAM, използване на диска, мрежов I/O

Състояние на потоците: активни потоци, bitrate, честота на грешки

Състояние на записите: активни записи, използвано пространство, статус на завършване

Резултати от FFmpeg задачи: завършване на транскодиране, грешки, размери на изходните файлове

Брой връзки от зрители (анонимно агрегирано — без лични данни)

Версия на агента и наличност на актуализации

Технически: Телеметрията се изпраща на всеки 30 секунди чрез HTTPS POST. Payload-ът е компресиран (gzip) и криптиран. Среден размер: 2–5 KB за интервал.

Обобщение на мрежата

Аспект	Детайл
Протокол	HTTPS (TLS 1.3) с закрепване на сертификата
Изходящ порт	443 (само HTTPS)
Входящи портове	Не са необходими от CASTOVIA
Heartbeat	На всеки 30 секунди (2–5 KB компресирано)
Удостоверяване	Ротиращи TLS клиентски сертификати (ротация на 7 дни)
Широчина на лентата	< 1 MB/час за трафика по управление
Поведение офлайн	Обслужва кеширана конфигурация, поставя телеметрията на опашка, автоматично се свързва отново
Трафик на потоците	Никога не се маршрутизира през CASTOVIA — остава във вашата мрежа

Пълно деинсталиране

Ако премахнете възел, агентът почиства всичко напълно:

sudo castovia-agent uninstall --purge

Спира и премахва systemd услугата

Изтрива бинарния файл от /opt/castovia/

Премахва цялата конфигурация от /etc/castovia/

Премахва системния потребител castovia-agent

Отменя клиентския сертификат в CASTOVIA Cloud

Не остават файлове, процеси или cron задачи

Админ табло Настройка на сървъра Сигурност Как работи