Agent et communication

Une seule commande. Entièrement sécurisé.

L'agent CASTOVIA s'installe en moins de 60 secondes, gère automatiquement la sécurité et communique avec CASTOVIA Cloud via des canaux chiffrés. Aucune règle de pare-feu manuelle, aucune clé SSH, aucun VPN.

Explication de la commande d'installation

Précisément ce qui se passe lorsque vous exécutez l'installateur en une ligne sur votre serveur Linux.

Ce que fait la commande

La commande d'installation en une ligne que vous copiez depuis le tableau de bord admin CASTOVIA effectue les étapes suivantes sur votre serveur Linux :

Télécharge le binaire de l'agent CASTOVIA (~15 MB) depuis le CDN officiel

Vérifie la signature du binaire (SHA-256 + GPG) pour empêcher toute altération

Crée un utilisateur système dédié : castovia-agent (sans shell de connexion, sans sudo)

Installe le binaire dans /opt/castovia/agent

Crée le répertoire de configuration /etc/castovia/ avec des permissions restreintes (0700)

Écrit le jeton du serveur (unique par nœud) dans /etc/castovia/token.conf

Enregistre l'agent comme service systemd : castovia-agent.service

Démarre le service et active le démarrage automatique au boot

Effectue un premier handshake avec CASTOVIA Cloud pour enregistrer le nœud

La commande réelle

La commande que vous voyez dans votre tableau de bord admin ressemble à ceci :

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN est un jeton unique à usage unique généré pour chaque nœud. Il expire après 24 heures s'il n'est pas utilisé.

Ce que l'agent ne fait PAS

Des limites claires. L'agent est volontairement limité dans son périmètre.

N'ouvre aucun port entrant sur votre serveur

Ne modifie pas vos règles de pare-feu (iptables, nftables, firewalld)

N'installe ni ne modifie de clés SSH

N'accède pas aux autres applications sur votre serveur

Ne fait pas transiter le contenu des flux via les serveurs CASTOVIA (les flux restent sur VOTRE réseau)

Ne stocke pas de données personnelles d'abonnés sur le nœud

N'exige pas de VPN ni de configuration réseau spéciale

Ne s'exécute pas en root après l'installation initiale

Sécurité — intégrée, pas ajoutée après coup

Chaque mesure de sécurité est automatique. Aucune configuration manuelle requise.

Authentification par jeton serveur

automatique

Chaque nœud reçoit un jeton serveur unique et cryptographiquement aléatoire (256 bits). Ce jeton est généré dans l'admin CASTOVIA lorsque vous créez un nœud. Il est utilisé une seule fois lors de l'enregistrement puis remplacé par un certificat client TLS rotatif.

Chiffrement TLS 1.3

automatique

Toutes les communications entre l'agent et CASTOVIA Cloud utilisent TLS 1.3. L'agent valide la chaîne de certificats CASTOVIA contre une CA racine épinglée — aucune confiance dans le magasin de certificats du système. Les attaques de type man-in-the-middle sont impossibles.

Exigences de pare-feu

automatique

L'agent n'a besoin que de HTTPS sortant (port 443) vers CASTOVIA Cloud. Aucun port entrant n'a besoin d'être ouvert. Les règles de pare-feu de votre serveur restent inchangées — l'agent ne modifie pas iptables, nftables ni firewalld.

Aucun accès root requis à l'exécution

automatique

L'agent s'exécute en tant qu'utilisateur non privilégié dédié (castovia-agent). Il n'a besoin de root que pendant l'installation (pour créer le service systemd). À l'exécution, il opère avec des permissions minimales — accès en lecture aux sources de flux, accès en écriture à son propre répertoire de cache.

Rotation automatique des certificats

automatique

Les certificats client tournent tous les 7 jours. L'agent gère le renouvellement de manière transparente. Si un certificat expire (par ex. serveur hors ligne), l'agent utilise un flux de réinscription sécurisé qui nécessite une approbation dans l'admin CASTOVIA.

Surveillance de santé et auto-réparation

automatique

L'agent surveille sa propre santé. S'il plante, systemd le redémarre en moins de 5 secondes. S'il ne peut pas atteindre CASTOVIA Cloud, il continue à servir la configuration mise en cache et met les métriques en file d'attente pour une transmission ultérieure.

Protocole de communication

Comment les données circulent entre votre serveur et CASTOVIA Cloud.

CASTOVIA Cloud → Agent (Push de configuration)

Configurations de flux (URL source, profils de transcodage, planifications d'enregistrement)

Fragments de configuration Nginx pour la diffusion des médias

Règles de catch-up et de timeshift

Données EPG et logos des chaînes

Affectations de packages/bouquets

Mises à jour des droits des abonnés

Technique: La configuration est livrée sous forme de charges JSON signées. L'agent valide chaque charge avant de l'appliquer. Pas de SQL brut, pas de commandes shell — uniquement une configuration structurée.

Agent → CASTOVIA Cloud (Télémétrie)

Santé du serveur : CPU, RAM, utilisation du disque, I/O réseau

État des flux : flux actifs, bitrate, taux d'erreur

État des enregistrements : enregistrements actifs, espace utilisé, état d'achèvement

Résultats des tâches FFmpeg : fin de transcodage, erreurs, tailles des fichiers de sortie

Nombre de connexions des spectateurs (agrégé anonyme — aucune donnée personnelle)

Version de l'agent et disponibilité des mises à jour

Technique: La télémétrie est envoyée toutes les 30 secondes via HTTPS POST. La charge est compressée (gzip) et chiffrée. Taille moyenne : 2–5 KB par intervalle.

Résumé réseau

Aspect	Détail
Protocole	HTTPS (TLS 1.3) avec épinglage de certificat
Port sortant	443 (HTTPS uniquement)
Ports entrants	Aucun requis par CASTOVIA
Signal de présence	Toutes les 30 secondes (2–5 KB compressés)
Authentification	Certificats client TLS rotatifs (rotation sur 7 jours)
Bande passante	< 1 MB/heure pour le trafic de gestion
Comportement hors ligne	Sert la configuration en cache, met la télémétrie en file d'attente, se reconnecte automatiquement
Trafic des flux	Jamais acheminé via CASTOVIA — reste sur votre réseau

Désinstallation propre

Si vous supprimez un nœud, l'agent nettoie complètement :

sudo castovia-agent uninstall --purge

Arrête et supprime le service systemd

Supprime le binaire de /opt/castovia/

Supprime toute la configuration de /etc/castovia/

Supprime l'utilisateur système castovia-agent

Révoque le certificat client sur CASTOVIA Cloud

Aucun fichier, processus ou tâche cron résiduel

Tableau de bord admin Configuration du serveur Sécurité Fonctionnement