Agent a komunikace

Jeden příkaz. Plně zabezpečeno.

Agent CASTOVIA se nainstaluje za méně než 60 sekund, bezpečnost řeší automaticky a komunikuje s CASTOVIA Cloud přes šifrované kanály. Žádná ruční pravidla firewallu, žádné SSH klíče, žádné VPN.

Vysvětlení instalačního příkazu

Přesně co se stane, když na Linux serveru spustíte jednoduše zkopírovaný instalační příkaz.

Co příkaz dělá

Instalační příkaz na jeden řádek, který zkopírujete z administrátorského panelu CASTOVIA, provede na vašem Linux serveru tyto kroky:

Stáhne binární soubor agenta CASTOVIA (~15 MB) z oficiální CDN

Ověří podpis binárního souboru (SHA-256 + GPG), aby zabránil manipulaci

Vytvoří vyhrazeného systémového uživatele: castovia-agent (bez přihlašovací shellu, bez sudo)

Nainstaluje binární soubor do /opt/castovia/agent

Vytvoří konfigurační adresář /etc/castovia/ s omezenými oprávněními (0700)

Zapíše token serveru (unikátní pro každý uzel) do /etc/castovia/token.conf

Zaregistruje agenta jako službu systemd: castovia-agent.service

Spustí službu a povolí automatické spuštění při bootu

Provede první handshake s CASTOVIA Cloud pro registraci uzlu

Skutečný příkaz

Příkaz, který vidíte v administrátorském panelu, vypadá takto:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN je unikátní token na jedno použití generovaný pro každý uzel. Pokud se nepoužije, vyprší po 24 hodinách.

Co agent NEDĚLÁ

Jasně vymezené hranice. Agent má záměrně omezený rozsah.

Neotevírá žádné příchozí porty na vašem serveru

Nemění pravidla firewallu (iptables, nftables, firewalld)

Neinstaluje ani neupravuje SSH klíče

Nepřistupuje k ostatním aplikacím na vašem serveru

Neposílá obsah streamů přes servery CASTOVIA (streamy zůstávají ve VAŠÍ síti)

Neukládá osobní údaje předplatitelů na uzel

Nevyžaduje VPN ani speciální síťovou konfiguraci

Po úvodní instalaci neběží jako root

Bezpečnost — zabudovaná, ne dodatečně přidaná

Všechna bezpečnostní opatření jsou automatická. Žádná ruční konfigurace není potřeba.

Ověřování tokenem serveru

automaticky

Každý uzel dostane jedinečný, kryptograficky náhodný token serveru (256 bitů). Tento token se generuje v administraci CASTOVIA při vytvoření uzlu. Použije se jednou při registraci a poté je nahrazen rotujícím klientským certifikátem TLS.

Šifrování TLS 1.3

automaticky

Veškerá komunikace mezi agentem a CASTOVIA Cloud používá TLS 1.3. Agent ověřuje řetězec certifikátů CASTOVIA proti připnuté root CA — žádné spoléhání na systémový úložiště certifikátů. Útoky typu man-in-the-middle nejsou možné.

Požadavky na firewall

automaticky

Agent potřebuje pouze odchozí HTTPS (port 443) do CASTOVIA Cloud. Není potřeba otevírat žádné příchozí porty. Pravidla firewallu vašeho serveru zůstávají nedotčena — agent nemění iptables, nftables ani firewalld.

Při běhu není vyžadován root přístup

automaticky

Agent běží jako vyhrazený neprivilegovaný uživatel (castovia-agent). Root potřebuje pouze během instalace (pro vytvoření služby systemd). Za běhu pracuje s minimálními oprávněními — čtení zdrojů streamu, zápis do vlastní cache složky.

Automatická rotace certifikátů

automaticky

Klientské certifikáty se rotují každých 7 dní. Agent obnovu řeší transparentně. Pokud certifikát vyprší (např. server byl offline), agent použije bezpečný proces opětovné registrace, který vyžaduje schválení v administraci CASTOVIA.

Monitoring stavu a samooprava

automaticky

Agent sleduje vlastní stav. Pokud spadne, systemd jej do 5 sekund restartuje. Pokud se nemůže připojit ke CASTOVIA Cloud, pokračuje v obsluze uložené konfigurace a do fronty ukládá metriky pro pozdější odeslání.

Komunikační protokol

Jak proudí data mezi vaším serverem a CASTOVIA Cloud.

CASTOVIA Cloud → Agent (push konfigurace)

Konfigurace streamů (zdrojové URL, transkódovací profily, harmonogramy nahrávání)

Fragmenty konfigurace Nginx pro doručování médií

Pravidla catch-up a timeshift

Data EPG a loga kanálů

Přiřazení paketů/balíčků

Aktualizace oprávnění předplatitelů

Technické: Konfigurace se doručuje jako podepsané JSON payloady. Agent každý payload před použitím ověřuje. Žádné syrové SQL, žádné shell příkazy — pouze strukturovaná konfigurace.

Agent → CASTOVIA Cloud (telemetrie)

Stav serveru: CPU, RAM, využití disku, síťové I/O

Stav streamu: aktivní streamy, bitrate, chybovost

Stav nahrávání: aktivní nahrávky, využité úložiště, stav dokončení

Výsledky úloh FFmpeg: dokončení transkódování, chyby, velikosti výstupních souborů

Počty připojených diváků (anonymní agregát — žádné osobní údaje)

Verze agenta a dostupnost aktualizací

Technické: Telemetrie se odesílá každých 30 sekund přes HTTPS POST. Payload je komprimovaný (gzip) a šifrovaný. Průměrná velikost: 2–5 KB na interval.

Souhrn sítě

Aspekt	Detail
Protokol	HTTPS (TLS 1.3) s připínáním certifikátu
Odchozí port	443 (pouze HTTPS)
Příchozí porty	CASTOVIA nevyžaduje žádné
Heartbeat	Každých 30 sekund (2–5 KB komprimovaně)
Ověřování	Rotující klientské certifikáty TLS (rotace po 7 dnech)
Šířka pásma	< 1 MB/hod pro řídicí provoz
Chování offline	Obsluhuje uloženou konfiguraci, řadí telemetrii do fronty, automaticky se znovu připojí
Provoz streamů	Nikdy není směrován přes CASTOVIA — zůstává ve vaší síti

Čistá odinstalace

Když uzel odstraníte, agent vše zcela vyčistí:

sudo castovia-agent uninstall --purge

Zastaví a odstraní službu systemd

Smaže binární soubor z /opt/castovia/

Odstraní veškerou konfiguraci z /etc/castovia/

Odstraní systémového uživatele castovia-agent

Na CASTOVIA Cloud zneplatní klientský certifikát

Nezůstanou žádné soubory, procesy ani cron úlohy

Administrátorský panel Nastavení serveru Bezpečnost Jak to funguje