Agent ותקשורת

פקודה אחת. מאובטח לחלוטין.

ה־CASTOVIA Agent מותקן בתוך פחות מ־60 שניות, מטפל באבטחה אוטומטית, ומתקשר עם CASTOVIA Cloud דרך ערוצים מוצפנים. בלי כללי firewall ידניים, בלי מפתחות SSH, בלי VPN.

פירוש פקודת ההתקנה

בדיוק מה קורה כשמריצים את תוכנית ההתקנה בשורה אחת על שרת Linux שלך.

מה הפקודה עושה

פקודת ההתקנה בשורה אחת שאתה מעתיק מלוח הניהול של CASTOVIA מבצעת את השלבים הבאים על שרת Linux שלך:

מורידה את קובץ הבינארי של CASTOVIA Agent (כ־15 MB) מה־CDN הרשמי

מאמתת את חתימת הבינארי (SHA-256 + GPG) כדי למנוע שיבוש

יוצרת משתמש מערכת ייעודי: castovia-agent (ללא login shell, ללא sudo)

מתקינה את הבינארי ב־/opt/castovia/agent

יוצרת את תיקיית ההגדרות /etc/castovia/ עם הרשאות מוגבלות (0700)

כותבת את טוקן השרת (ייחודי לכל node) אל /etc/castovia/token.conf

רושמת את ה־Agent כשירות systemd: castovia-agent.service

מפעילה את השירות ומאפשרת הפעלה אוטומטית באתחול

מבצעת handshake ראשוני עם CASTOVIA Cloud כדי לרשום את ה־node

הפקודה בפועל

הפקודה שתראה בלוח הניהול שלך נראית כך:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN הוא טוקן ייחודי לשימוש חד־פעמי שנוצר לכל node. תוקפו פג אחרי 24 שעות אם לא נעשה בו שימוש.

מה ה־Agent לא עושה

גבולות ברורים. ה־Agent מוגבל בכוונה בהיקפו.

לא פותח אף port נכנס בשרת שלך

לא משנה את כללי ה־firewall שלך (iptables, nftables, firewalld)

לא מתקין או משנה מפתחות SSH

לא ניגש ליישומים אחרים בשרת שלך

לא שולח תוכן stream דרך שרתי CASTOVIA (הזרמות נשארות ברשת שלך)

לא שומר נתונים אישיים של מנויים על ה־node

לא דורש VPN או קונפיגורציית רשת מיוחדת

לא רץ כ־root לאחר ההתקנה הראשונית

אבטחה — מובנית, לא מודבקת

כל אמצעי האבטחה אוטומטיים. אין צורך בהגדרה ידנית.

אימות טוקן שרת

אוטומטי

לכל node ניתנת תוקן שרת ייחודי ואקראי קריפטוגרפית (256-bit). הטוקן נוצר ב־Admin של CASTOVIA כאשר אתה יוצר node. הוא משמש פעם אחת במהלך הרישום ואז מוחלף בתעודת לקוח TLS מתחלפת.

הצפנת TLS 1.3

אוטומטי

כל התקשורת בין ה־Agent לבין CASTOVIA Cloud משתמשת ב־TLS 1.3. ה־Agent מאמת את שרשרת התעודות של CASTOVIA מול root CA נעוץ — ללא אמון במחסן התעודות של המערכת. מתקפות man-in-the-middle אינן אפשריות.

דרישות Firewall

אוטומטי

ה־Agent צריך רק HTTPS יוצא (port 443) אל CASTOVIA Cloud. אין צורך לפתוח ports נכנסים. כללי ה־firewall של השרת שלך נותרים ללא שינוי — ה־Agent אינו משנה iptables, nftables או firewalld.

אין צורך בגישת Root בזמן ריצה

אוטומטי

ה־Agent רץ כמשתמש ייעודי ללא הרשאות (castovia-agent). הוא צריך root רק בזמן ההתקנה (כדי ליצור את שירות systemd). בזמן ריצה, הוא פועל עם הרשאות מינימליות — גישת קריאה למקורות stream, גישת כתיבה לתיקיית המטמון שלו.

החלפת תעודות אוטומטית

אוטומטי

תעודות לקוח מתחלפות כל 7 ימים. ה־Agent מטפל בחידוש באופן שקוף. אם תעודה פגה (למשל, השרת היה לא מקוון), ה־Agent משתמש בזרימת re-enrollment מאובטחת שדורשת אישור ב־Admin של CASTOVIA.

ניטור מצב וריפוי עצמי

אוטומטי

ה־Agent מנטר את מצבו שלו. אם הוא קורס, systemd מפעיל אותו מחדש בתוך 5 שניות. אם אינו מצליח להגיע ל־CASTOVIA Cloud, הוא ממשיך לשרת קונפיגורציה שמורה ומעמיס מדדים לתור לשליחה מאוחרת יותר.

פרוטוקול תקשורת

כיצד נתונים זורמים בין השרת שלך לבין CASTOVIA Cloud.

CASTOVIA Cloud → Agent (דחיפת קונפיגורציה)

קונפיגורציות stream (source URLs, פרופילי transcoding, לוחות זמנים להקלטה)

מקטעי קונפיגורציה של Nginx עבור הגשת מדיה

כללי catch-up ו־timeshift

נתוני EPG ולוגואים של ערוצים

הקצאות חבילות/זרות

עדכוני זכאות מנויים

טכני: הקונפיגורציה נמסרת כ־payloads של JSON חתומים. ה־Agent מאמת כל payload לפני יישום. בלי SQL גולמי, בלי פקודות shell — רק קונפיגורציה מובנית.

Agent → CASTOVIA Cloud (Telemetry)

מצב שרת: CPU, RAM, שימוש בדיסק, I/O רשת

מצב stream: streams פעילים, bitrate, שיעורי שגיאות

מצב הקלטה: הקלטות פעילות, נפח אחסון בשימוש, סטטוס השלמה

תוצאות עבודות FFmpeg: השלמת transcoding, שגיאות, גדלי קבצי פלט

מספרי חיבורי צופים (אגרגט אנונימי — ללא נתונים אישיים)

גרסת Agent וזמינות עדכונים

טכני: Telemetry נשלחת כל 30 שניות דרך HTTPS POST. ה־payload דחוס (gzip) ומוצפן. גודל ממוצע: 2–5 KB לכל מרווח.

סיכום רשת

היבט	פרט
פרוטוקול	HTTPS (TLS 1.3) עם certificate pinning
Port יוצא	443 (HTTPS בלבד)
Ports נכנסים	אין צורך בהם מצד CASTOVIA
Heartbeat	כל 30 שניות (2–5 KB דחוס)
אימות	תעודות לקוח TLS מתחלפות (החלפה כל 7 ימים)
רוחב פס	פחות מ־1 MB/שעה עבור תעבורת ניהול
התנהגות במצב לא מקוון	מגיש קונפיגורציה שמורה, מעמיד telemetry בתור, מתחבר מחדש אוטומטית
תעבורת stream	לעולם לא מנותבת דרך CASTOVIA — נשארת ברשת שלך

הסרה נקייה

אם אתה מסיר node, ה־Agent מנקה הכול לחלוטין:

sudo castovia-agent uninstall --purge

עוצר ומסיר את שירות systemd

מוחק את הבינארי מ־/opt/castovia/

מסיר את כל ההגדרות מ־/etc/castovia/

מסיר את משתמש המערכת castovia-agent

מבטל את תעודת הלקוח ב־CASTOVIA Cloud

ללא קבצים, תהליכים או cron jobs שיישארו מאחור

לוח ניהול הגדרת שרת אבטחה איך זה עובד