Agent & Kommunikation

Ein Befehl. Vollständig gschützt.

De CASTOVIA-Agent isch in under 60 Sekunde installiert, übernimmt d'Sicherheit automatisch und kommuniziert mit CASTOVIA Cloud über verschlüssleti Kanäl. Kei manuelle Firewall-Regle, kei SSH-Keys, kei VPN.

De Installations-Befehl erklärt

Exakt was passiert, wenn du de Einzeiler-Installer uf dim Linux-Server usfüehrsch.

Was de Befehl macht

De Installations-Befehl mit nur einer Zeile, wo du us em CASTOVIA Admin-Dashboard chasch kopiere, macht uf dim Linux-Server die folgende Schritt:

Lädt s CASTOVIA-Agent-Binary (~15 MB) vo em offizielle CDN

Prüeft d Binary-Signatur (SHA-256 + GPG), zum Manipulatione z verhindere

Erstellt e spezielli System-Benutzer: castovia-agent (kei Login-Shell, kei sudo)

Installiert s Binary under /opt/castovia/agent

Erstellt s Konfigurationsverzeichnis /etc/castovia/ mit beschränkte Berechtigung (0700)

Schriibt de Server-Token (pro Node einzigartig) i /etc/castovia/token.conf

Registriert de Agent als systemd-Service: castovia-agent.service

Startet de Service und aktiviert Autostart bi em Boot

Macht e ersts Handshake mit CASTOVIA Cloud, zum de Node z registriere

De tatsächliche Befehl

De Befehl, wo du im Admin-Dashboard gsehsch, gseht so us:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN isch e einzigartige, nur einmal benutzbari Token, wo pro Node generiert wird. Er lauft nach 24 Stunde ab, wenn er nöd benutzt worde isch.

Was de Agent NICHT macht

Klari Grenze. De Agent isch absichtlich im Umfang beschränkt.

Kei inbound Ports uf dim Server ufmache

Dini Firewall-Regle nöd ändere (iptables, nftables, firewalld)

SSH-Keys installiere oder ändere

Uf anderi Applikatione uf dim Server zuegriffe

Stream-Content über CASTOVIA-Server schicke (Streams blibed uf DIM Netz)

Persönlichi Date vo Abonnentä uf em Node speichere

E VPN oder spezielli Netzwerkkonfigurationskonstellation verlange

Nach dr ersti Installation als root laufe

Sicherheit — iigbaut, nöd nachträglich druffbappt

Jedi Sicherheitsmassnahme isch automatisch. Kei manuelle Konfiguration nötig.

Server-Token-Authentifizierig

automatisch

Jede Node erhält en einzigartige, kryptografisch zufällige Server-Token (256-bit). Dä Token wird im CASTOVIA Admin generiert, wenn du e Node erstellsch. Er wird einisch bi dr Registration bruucht und denn durch es rotierends TLS-Client-Zertifikat ersetzt.

TLS 1.3-Verschlüsselig

automatisch

Alli Kommunikation zwüsche em Agent und CASTOVIA Cloud verwendet TLS 1.3. De Agent validiert d CASTOVIA-Zertifikatskette gege e pinnti Root-CA — kei Vertroue uf em System-Zertifikatsspeicher. Man-in-the-middle-Aatäg sind nöd möglich.

Firewall-Anforderige

automatisch

De Agent bruucht nur usgehend HTTPS (Port 443) zu CASTOVIA Cloud. Kei iigangigi Ports müend ufgmacht werde. D Firewall-Regle vo dim Server blibed unangetastet — de Agent ändert weder iptables, nftables no firewalld.

Kei Root-Zuegriff zur Laufziit nötig

automatisch

De Agent lauft als eigete, nöd privilegierte Benutzer (castovia-agent). Er bruucht root nur bi dr Installation (zum s systemd-Service z erstelle). Zur Laufziit lauft er mit minimale Berechtigunge — Lesezugriff uf Stream-Quälle, Schreibzugriff uf sis eigete Cache-Verzeichnis.

Automatischi Zertifikatserneuerig

automatisch

Client-Zertifikate rotiered alli 7 Täg. De Agent erledigt d Erneuerig transparent. Falls es Zertifikat abgliifte isch (z.B. dr Server isch offline gsi), nutzt dr Agent en sichere Re-Enrolment-Flow, wo im CASTOVIA Admin bestätigt werde muess.

Gesundheits-Monitoring & Selbst-Heilung

automatisch

De Agent überwacht sini eigete Gsundheit. Wenn er abstürzt, startet systemd ihn innert 5 Sekunde neu. Wenn er CASTOVIA Cloud nöd erreicht, liefert er zwüschezgspichereti Konfiguration wyter und stellt Metrike für späteri Uuslieferig i d Queue.

Kommunikationsprotokoll

Wie d Date zwüsche dim Server und CASTOVIA Cloud fliesst.

CASTOVIA Cloud → Agent (Konfigurations-Push)

Stream-Konfiguratione (Source-URLs, Transcoding-Profile, Aufnahme-Zeiteplän)

Nginx-Konfig-Fragmente für s Media-Serving

Catch-up- und Timeshift-Regle

EPG-Date und Channel-Logos

Package-/Bouquet-Zuordnige

Abonnenten-Berechtigungs-Updates

Technisch: D Konfiguration wird als signierti JSON-Payload glieferet. De Agent validiert jede Payload, bevor er sie aawendet. Kei raw SQL, kei Shell-Befehle — nume strukturierte Konfiguration.

Agent → CASTOVIA Cloud (Telemetry)

Server-Gsundheit: CPU, RAM, Festplatte-Verbrauch, Netzwerk-I/O

Stream-Status: aktive Streams, Bitrate, Fehlerquote

Aufnahme-Status: laufendi Aufnahme, benutzte Speicherplatz, Abschluss-Status

FFmpeg-Job-Resultat: Transcode-Abschluss, Fehler, Output-Dateigrössen

Zuegangle von Viewer-Verbindige (anonyme Aggregate — kei persönlichi Date)

Agent-Version und Update-Verfügbarkeit

Technisch: Telemetry wird alli 30 Sekunde über HTTPS POST gschickt. Payload isch komprimiert (gzip) und verschlüsslet. Durchschnittsgrösse: 2–5 KB pro Intervall.

Netzwerk-Zämefassig

Aspekt	Detail
Protokoll	HTTPS (TLS 1.3) mit Certificate Pinning
Usgangs-Port	443 (nur HTTPS)
Iigangs-Ports	Keini vo CASTOVIA nötig
Heartbeat	Alli 30 Sekunde (2–5 KB komprimiert)
Authentifizierig	Rotierendi TLS-Client-Zertifikate (7-Tägige Rotation)
Bandbreite	< 1 MB/Stund für Management-Traffic
Offline-Verhalte	Lieferet zwüschezgspichereti Konfig, queued Telemetry, verbindet sich automatisch wieder
Stream-Traffic	Nie über CASTOVIA geroutet — blibt uf dim Netz

Sauberi Deinstallation

Wenn du e Node entfernisch, räumt de Agent komplett uf:

sudo castovia-agent uninstall --purge

Stoppt und entfernt de systemd-Service

Löscht s Binary us /opt/castovia/

Entfernt alli Konfiguration us /etc/castovia/

Entfernt de System-Benutzer castovia-agent

Widerruft s Client-Zertifikat uf CASTOVIA Cloud

Keini übrig blibendi Dateie, Prozesse oder cron jobs

Admin-Dashboard Server-Setup Sicherheit Wie's funktioniert