Agent & Kommunikation

Ein Befehl. Vollständig abgesichert.

Der CASTOVIA-Agent installiert sich in unter 60 Sekunden, übernimmt die Sicherheit automatisch und kommuniziert mit CASTOVIA Cloud über verschlüsselte Kanäle. Keine manuellen Firewall-Regeln, keine SSH-Keys, kein VPN.

Der Installationsbefehl erklärt

Genau das passiert, wenn Sie den Einzeiler-Installer auf Ihrem Linux-Server ausführen.

Was der Befehl macht

Der Installationsbefehl mit einer Zeile, den Sie aus dem CASTOVIA-Admin-Dashboard kopieren, führt auf Ihrem Linux-Server die folgenden Schritte aus:

Lädt die CASTOVIA-Agent-Binärdatei (~15 MB) vom offiziellen CDN herunter

Verifiziert die Binärsignatur (SHA-256 + GPG), um Manipulationen zu verhindern

Erstellt einen dedizierten Systembenutzer: castovia-agent (keine Login-Shell, kein sudo)

Installiert die Binärdatei unter /opt/castovia/agent

Erstellt das Konfigurationsverzeichnis /etc/castovia/ mit eingeschränkten Berechtigungen (0700)

Schreibt das Server-Token (einzigartig pro Knoten) in /etc/castovia/token.conf

Registriert den Agenten als systemd-Dienst: castovia-agent.service

Startet den Dienst und aktiviert den automatischen Start beim Booten

Führt einen ersten Handshake mit CASTOVIA Cloud durch, um den Knoten zu registrieren

Der eigentliche Befehl

Der Befehl, den Sie in Ihrem Admin-Dashboard sehen, sieht so aus:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN ist ein eindeutiges Einmal-Token, das pro Knoten generiert wird. Es läuft nach 24 Stunden ab, wenn es nicht verwendet wird.

Was der Agent NICHT tut

Klare Grenzen. Der Agent ist bewusst im Funktionsumfang begrenzt.

Keine eingehenden Ports auf Ihrem Server öffnen

Ihre Firewall-Regeln nicht ändern (iptables, nftables, firewalld)

Keine SSH-Keys installieren oder ändern

Keine anderen Anwendungen auf Ihrem Server zugreifen

Keinen Stream-Inhalt über CASTOVIA-Server senden (Streams bleiben in IHREM Netzwerk)

Keine persönlichen Abonnentendaten auf dem Knoten speichern

Kein VPN oder spezielle Netzwerkkonfiguration erfordern

Nach der Erstinstallation nicht als root laufen

Sicherheit — integriert, nicht nachträglich angebracht

Jede Sicherheitsmaßnahme erfolgt automatisch. Keine manuelle Konfiguration erforderlich.

Server-Token-Authentifizierung

automatisch

Jeder Knoten erhält ein eindeutiges, kryptografisch zufälliges Server-Token (256 Bit). Dieses Token wird im CASTOVIA-Admin generiert, wenn Sie einen Knoten erstellen. Es wird einmal während der Registrierung verwendet und anschließend durch ein rotierendes TLS-Client-Zertifikat ersetzt.

TLS-1.3-Verschlüsselung

automatisch

Die gesamte Kommunikation zwischen dem Agenten und CASTOVIA Cloud verwendet TLS 1.3. Der Agent validiert die CASTOVIA-Zertifikatskette gegen eine fest verankerte Root-CA — kein Vertrauen in den System-Zertifikatsspeicher. Man-in-the-Middle-Angriffe sind nicht möglich.

Firewall-Anforderungen

automatisch

Der Agent benötigt nur ausgehendes HTTPS (Port 443) zu CASTOVIA Cloud. Es müssen keine eingehenden Ports geöffnet werden. Ihre Server-Firewall-Regeln bleiben unberührt — der Agent verändert iptables, nftables oder firewalld nicht.

Zur Laufzeit kein Root-Zugriff erforderlich

automatisch

Der Agent läuft als dedizierter, nicht privilegierter Benutzer (castovia-agent). Root wird nur während der Installation benötigt (um den systemd-Dienst zu erstellen). Zur Laufzeit arbeitet er mit minimalen Berechtigungen — Lesezugriff auf Stream-Quellen, Schreibzugriff auf sein eigenes Cache-Verzeichnis.

Automatische Zertifikatsrotation

automatisch

Client-Zertifikate rotieren alle 7 Tage. Der Agent übernimmt die Erneuerung transparent. Wenn ein Zertifikat abläuft (z. B. Server war offline), verwendet der Agent einen sicheren Re-Enrollment-Flow, der eine Genehmigung im CASTOVIA-Admin erfordert.

Gesundheitsüberwachung & Selbstheilung

automatisch

Der Agent überwacht seinen eigenen Zustand. Wenn er abstürzt, startet systemd ihn innerhalb von 5 Sekunden neu. Wenn er CASTOVIA Cloud nicht erreichen kann, liefert er weiterhin die zwischengespeicherte Konfiguration aus und stellt Metriken für die spätere Übertragung in eine Warteschlange.

Kommunikationsprotokoll

Wie Daten zwischen Ihrem Server und CASTOVIA Cloud fließen.

CASTOVIA Cloud → Agent (Konfigurations-Push)

Stream-Konfigurationen (Quell-URLs, Transcoding-Profile, Aufnahmepläne)

Nginx-Konfigurationsausschnitte für die Medienauslieferung

Catch-up- und Timeshift-Regeln

EPG-Daten und Kanal-Logos

Paket-/Bouquet-Zuweisungen

Aktualisierungen von Abonnenten-Berechtigungen

Technisch: Die Konfiguration wird als signierte JSON-Payloads geliefert. Der Agent validiert jede Payload vor der Anwendung. Kein rohes SQL, keine Shell-Befehle — nur strukturierte Konfiguration.

Agent → CASTOVIA Cloud (Telemetrie)

Server-Gesundheit: CPU, RAM, Festplattennutzung, Netzwerk-I/O

Stream-Status: aktive Streams, Bitrate, Fehlerraten

Aufnahmestatus: aktive Aufnahmen, belegter Speicher, Abschlussstatus

FFmpeg-Jobergebnisse: Transcoding-Abschluss, Fehler, Ausgabe-Dateigrößen

Anzahl der Zuschauerverbindungen (anonym aggregiert — keine persönlichen Daten)

Agent-Version und Verfügbarkeit von Updates

Technisch: Die Telemetrie wird alle 30 Sekunden per HTTPS POST gesendet. Die Payload ist komprimiert (gzip) und verschlüsselt. Durchschnittliche Größe: 2–5 KB pro Intervall.

Netzwerkübersicht

Aspekt	Detail
Protokoll	HTTPS (TLS 1.3) mit Zertifikat-Pinning
Ausgehender Port	443 (nur HTTPS)
Eingehende Ports	Keine von CASTOVIA erforderlich
Heartbeat	Alle 30 Sekunden (2–5 KB komprimiert)
Authentifizierung	Rotierende TLS-Client-Zertifikate (7-Tage-Rotation)
Bandbreite	< 1 MB/Stunde für Verwaltungsverkehr
Offline-Verhalten	Liefert zwischengespeicherte Konfiguration, stellt Telemetrie in eine Warteschlange, verbindet automatisch erneut
Stream-Verkehr	Nie über CASTOVIA geroutet — bleibt in Ihrem Netzwerk

Saubere Deinstallation

Wenn Sie einen Knoten entfernen, bereinigt der Agent alles vollständig:

sudo castovia-agent uninstall --purge

Stoppt und entfernt den systemd-Dienst

Löscht die Binärdatei aus /opt/castovia/

Entfernt die gesamte Konfiguration aus /etc/castovia/

Entfernt den Systembenutzer castovia-agent

Widerruft das Client-Zertifikat in CASTOVIA Cloud

Keine verbleibenden Dateien, Prozesse oder Cron-Jobs

Admin-Dashboard Servereinrichtung Sicherheit So funktioniert es