Agentti & viestintä

Yksi komento. Täysin suojattu.

CASTOVIA-agentti asentuu alle 60 sekunnissa, hoitaa tietoturvan automaattisesti ja kommunikoi CASTOVIA Cloudin kanssa salattujen kanavien yli. Ei manuaalisia palomuurisääntöjä, ei SSH-avaimia, ei VPN:ää.

Asennuskomennon selitys

Täsmälleen mitä tapahtuu, kun suoritat yhden rivin asentajan Linux-palvelimellasi.

Mitä komento tekee

Yhden rivin asennuskomento, jonka kopioit CASTOVIAn ylläpidon hallintapaneelista, suorittaa seuraavat vaiheet Linux-palvelimellasi:

Lataa CASTOVIA-agentin binäärin (~15 MB) virallisesta CDN:stä

Vahvistaa binäärin allekirjoituksen (SHA-256 + GPG) peukaloinnin estämiseksi

Luo erillisen järjestelmäkäyttäjän: castovia-agent (ei kirjautumiskuorta, ei sudoa)

Asentaa binäärin polkuun /opt/castovia/agent

Luo asetushakemiston /etc/castovia/ rajoitetuilla oikeuksilla (0700)

Kirjoittaa palvelintokenin (yksilöllinen per solmu) tiedostoon /etc/castovia/token.conf

Rekisteröi agentin systemd-palveluksi: castovia-agent.service

Käynnistää palvelun ja ottaa automaattikäynnistyksen käyttöön käynnistyksen yhteydessä

Suorittaa ensimmäisen kädenpuristuksen CASTOVIA Cloudin kanssa solmun rekisteröimiseksi

Todellinen komento

Komento, jonka näet ylläpidon hallintapaneelissa, näyttää tältä:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN on yksilöllinen, kertakäyttöinen token, joka luodaan per solmu. Se vanhenee 24 tunnin kuluttua, jos sitä ei käytetä.

Mitä agentti EI tee

Selkeät rajat. Agentin toiminta-ala on tarkoituksella rajattu.

Ei avaa yhtään sisäänpäin tulevaa porttia palvelimellasi

Ei muuta palomuurisääntöjäsi (iptables, nftables, firewalld)

Ei asenna tai muuta SSH-avaimia

Ei pääse käsiksi muihin palvelimesi sovelluksiin

Ei lähetä stream-sisältöä CASTOVIA-palvelimien kautta (streamit pysyvät SINUN verkossasi)

Ei tallenna tilaajien henkilötietoja solmulle

Ei vaadi VPN:ää tai erityistä verkkoasetusta

Ei aja rootina alkuasennuksen jälkeen

Tietoturva — sisäänrakennettu, ei jälkiasennettu

Jokainen tietoturvatoimi on automaattinen. Manuaalista määritystä ei tarvita.

Palvelintokenin todennus

automaattinen

Jokainen solmu saa yksilöllisen, kryptografisesti satunnaisen palvelintokenin (256-bittiä). Tämä token luodaan CASTOVIA-ylläpidossa, kun luot solmun. Sitä käytetään kerran rekisteröinnin aikana ja sen jälkeen se korvataan vaihtuvalla TLS-asiakasvarmenteella.

TLS 1.3 -salaus

automaattinen

Kaikki yhteys agentin ja CASTOVIA Cloudin välillä käyttää TLS 1.3:ta. Agentti validoi CASTOVIA-varmenneketjun pinattua juurivarmentajaa vastaan — järjestelmän varmennevarastoon ei luoteta. Väliintulohyökkäykset eivät ole mahdollisia.

Palomuurivaatimukset

automaattinen

Agentti tarvitsee vain lähtevän HTTPS-yhteyden (portti 443) CASTOVIA Cloudiin. Sisäänpäin tulevia portteja ei tarvitse avata. Palvelimesi palomuurisäännöt pysyvät koskemattomina — agentti ei muuta iptables-, nftables- tai firewalld-asetuksia.

Root-oikeutta ei tarvita ajonaikaisesti

automaattinen

Agentti toimii erillisenä, vähäoikeuksisena käyttäjänä (castovia-agent). Se tarvitsee root-oikeudet vain asennuksen aikana (systemd-palvelun luontiin). Ajonaikaisesti se toimii minimoiduilla oikeuksilla — lukuoikeus stream-lähteisiin, kirjoitusoikeus omaan välimuistihakemistoonsa.

Automaattinen varmenteiden kierto

automaattinen

Asiakasvarmenteet vaihtuvat 7 päivän välein. Agentti hoitaa uusimisen läpinäkyvästi. Jos varmenne vanhenee (esim. palvelin oli offline-tilassa), agentti käyttää turvallista uudelleenrekisteröitymisprosessia, joka vaatii hyväksynnän CASTOVIA-ylläpidossa.

Tilanvalvonta & itsekorjaus

automaattinen

Agentti valvoo omaa tilaansa. Jos se kaatuu, systemd käynnistää sen uudelleen 5 sekunnin kuluessa. Jos se ei tavoita CASTOVIA Cloudia, se jatkaa välimuistiin tallennetun asetuksen palvelemista ja jonottaa mittarit myöhempää toimitusta varten.

Viestintäprotokolla

Miten data kulkee palvelimesi ja CASTOVIA Cloudin välillä.

CASTOVIA Cloud → Agentti (konfiguraation push)

Stream-konfiguraatiot (lähde-URL:t, transkoodausprofiilit, tallennusaikataulut)

Nginx-konfiguraatiopalat mediasisällön tarjoiluun

Catch-up- ja timeshift-säännöt

EPG-data ja kanavalogot

Paketti-/kimppumäärittelyt

Tilaajan oikeuksien päivitykset

Tekninen: Konfiguraatio toimitetaan allekirjoitettuina JSON-payloadina. Agentti validoi jokaisen payloadin ennen sen käyttöönottoa. Ei raakaa SQL:ää, ei shell-komentoja — vain jäsenneltyä konfiguraatiota.

Agentti → CASTOVIA Cloud (telemetria)

Palvelimen tila: CPU, RAM, levyn käyttö, verkon I/O

Streamin tila: aktiiviset streamit, bitrate, virheprosentit

Tallennuksen tila: aktiiviset tallennukset, käytetty tallennustila, valmistumistila

FFmpeg-työtulokset: transkoodauksen valmistuminen, virheet, ulostulon tiedostokoot

Katselijayhteyksien määrät (anonyymi koonti — ei henkilötietoja)

Agentin versio ja päivityksen saatavuus

Tekninen: Telemetria lähetetään 30 sekunnin välein HTTPS POSTilla. Payload pakataan (gzip) ja salataan. Keskimääräinen koko: 2–5 KB per jakso.

Verkkoyhteenveto

Ominaisuus	Tiedot
Protokolla	HTTPS (TLS 1.3) varmennekiinnityksellä
Lähtevä portti	443 (vain HTTPS)
Sisään tulevat portit	Ei vaadita CASTOVIAlta
Heartbeat	30 sekunnin välein (2–5 KB pakattuna)
Tunnistautuminen	Vaihtuvat TLS-asiakasvarmenteet (7 päivän kierto)
Kaistanleveys	< 1 MB/tunti hallintaliikenteelle
Offline-käyttäytyminen	Palvelee välimuistiin tallennettua konfiguraatiota, jonottaa telemetrian, yhdistää uudelleen automaattisesti
Stream-liikenne	Ei koskaan reititetä CASTOVIAn kautta — pysyy verkossasi

Siisti poisto

Jos poistat solmun, agentti siivoaa kaiken täysin:

sudo castovia-agent uninstall --purge

Pysäyttää ja poistaa systemd-palvelun

Poistaa binäärin polusta /opt/castovia/

Poistaa kaiken asetustiedon polusta /etc/castovia/

Poistaa castovia-agent-järjestelmäkäyttäjän

Peruuttaa asiakasvarmenteen CASTOVIA Cloudissa

Ei jää tiedostoja, prosesseja tai cron-tehtäviä

Ylläpidon hallintapaneeli Palvelimen asennus Tietoturva Miten se toimii