Agentas ir ryšys

Viena komanda. Visiškai apsaugota.

CASTOVIA agentas įsidiegia per mažiau nei 60 sekundžių, automatiškai tvarko saugumą ir bendrauja su CASTOVIA Cloud per šifruotus kanalus. Nereikia rankinių ugniasienės taisyklių, SSH raktų ar VPN.

Diegimo komandos paaiškinimas

Tiksliai kas nutinka, kai Linux serveryje paleidžiate vienos eilutės diegiklį.

Ką daro komanda

Vienos eilutės diegimo komanda, kurią nukopijuojate iš CASTOVIA administratoriaus skydelio, jūsų Linux serveryje atlieka šiuos veiksmus:

Atsisiunčia CASTOVIA agento dvejetainį failą (~15 MB) iš oficialaus CDN

Patikrina dvejetainio failo parašą (SHA-256 + GPG), kad būtų išvengta pakeitimų

Sukuria atskirą sistemos vartotoją: castovia-agent (be prisijungimo apvalkalo, be sudo)

Įdiegia dvejetainį failą į /opt/castovia/agent

Sukuria konfigūracijos katalogą /etc/castovia/ su ribotomis teisėmis (0700)

Įrašo serverio žetoną (unikalų kiekvienam mazgui) į /etc/castovia/token.conf

Užregistruoja agentą kaip systemd tarnybą: castovia-agent.service

Paleidžia tarnybą ir įjungia automatinį paleidimą įkrovos metu

Atlieka pirmąjį prisijungimą su CASTOVIA Cloud, kad būtų užregistruotas mazgas

Tikroji komanda

Komanda, kurią matote savo administratoriaus skydelyje, atrodo taip:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN yra unikalus, vienkartinis žetonas, generuojamas kiekvienam mazgui. Jei nenaudojamas, jis nustoja galioti po 24 valandų.

Ko agentas nedaro

Aiškios ribos. Agento veikimo sritis sąmoningai apribota.

Neatidaro jokių įeinančių prievadų jūsų serveryje

Nekeičia jūsų ugniasienės taisyklių (iptables, nftables, firewalld)

Nedinstalioja ir nekeičia SSH raktų

Nesiekia kitų programų jūsų serveryje

Nesiunčia srauto turinio per CASTOVIA serverius (srautai lieka JŪSŲ tinkle)

Nesaugo prenumeratorių asmens duomenų mazge

Nereikalauja VPN ar specialios tinklo konfigūracijos

Po pradinio diegimo neveikia kaip root

Saugumas — įdiegtas, o ne prikabintas vėliau

Kiekviena saugumo priemonė yra automatinė. Rankinės konfigūracijos nereikia.

Serverio žetono autentifikavimas

automatinis

Kiekvienas mazgas gauna unikalų, kriptografiškai atsitiktinį serverio žetoną (256 bitų). Šis žetonas sugeneruojamas CASTOVIA administratoriaus aplinkoje, kai kuriate mazgą. Jis naudojamas vieną kartą registracijos metu ir po to pakeičiamas besisukančiu TLS kliento sertifikatu.

TLS 1.3 šifravimas

automatinis

Visas ryšys tarp agento ir CASTOVIA Cloud naudoja TLS 1.3. Agentas patikrina CASTOVIA sertifikatų grandinę pagal pririštą šakninį CA — nepasikliaujama sistemos sertifikatų saugykla. „Man-in-the-middle“ atakos neįmanomos.

Ugniasienės reikalavimai

automatinis

Agentui reikia tik išeinančio HTTPS (443 prievadas) į CASTOVIA Cloud. Jokių įeinančių prievadų atidaryti nereikia. Jūsų serverio ugniasienės taisyklės lieka nepakeistos — agentas nekeičia iptables, nftables ar firewalld.

Darbo metu nereikia root prieigos

automatinis

Agentas veikia kaip atskiras neprivilegijuotas vartotojas (castovia-agent). Jam root reikia tik diegimo metu (kad sukurtų systemd tarnybą). Darbo metu jis naudoja minimalias teises — skaitymo prieigą prie srauto šaltinių ir rašymo prieigą prie savo talpyklos katalogo.

Automatinis sertifikatų rotavimas

automatinis

Kliento sertifikatai atsinaujina kas 7 dienas. Agentas atnaujinimą tvarko sklandžiai. Jei sertifikatas nustoja galioti (pvz., serveris buvo neprisijungęs), agentas naudoja saugų pakartotinio įtraukimo procesą, kuriam reikia patvirtinimo CASTOVIA administratoriaus aplinkoje.

Būklės stebėjimas ir savęs taisymas

automatinis

Agentas stebi savo būklę. Jei jis sugestų, systemd paleidžia jį iš naujo per 5 sekundes. Jei negali pasiekti CASTOVIA Cloud, jis toliau aptarnauja talpykloje saugomą konfigūraciją ir kaupia metrikas vėlesniam perdavimui.

Ryšio protokolas

Kaip duomenys teka tarp jūsų serverio ir CASTOVIA Cloud.

CASTOVIA Cloud → Agentas (konfigūracijos siuntimas)

Srauto konfigūracijos (šaltinio URL, transkodavimo profiliai, įrašymo tvarkaraščiai)

Nginx konfigūracijos fragmentai medijos pateikimui

Catch-up ir timeshift taisyklės

EPG duomenys ir kanalų logotipai

Paketų/rinkinių priskyrimai

Prenumeratorių teisių atnaujinimai

Techninis: Konfigūracija pateikiama kaip pasirašyti JSON duomenų paketai. Agentas patikrina kiekvieną paketą prieš taikydamas. Jokio neapdoroto SQL, jokių shell komandų — tik struktūruota konfigūracija.

Agentas → CASTOVIA Cloud (telemetrija)

Serverio būklė: CPU, RAM, disko naudojimas, tinklo įvestis/išvestis

Srauto būsena: aktyvūs srautai, bitų sparta, klaidų dažnis

Įrašymo būsena: aktyvūs įrašai, panaudota saugykla, užbaigimo būsena

FFmpeg užduočių rezultatai: transkodo užbaigimas, klaidos, išvesties failų dydžiai

Žiūrovų prisijungimų skaičius (anoniminė agreguota statistika — jokių asmens duomenų)

Agento versija ir atnaujinimo prieinamumas

Techninis: Telemetrija siunčiama kas 30 sekundžių per HTTPS POST. Duomenų paketas suspaudžiamas (gzip) ir šifruojamas. Vidutinis dydis: 2–5 KB per intervalą.

Tinklo santrauka

Aspektas	Išsamiau
Protokolas	HTTPS (TLS 1.3) su sertifikatų pririšimu
Išeinantis prievadas	443 (tik HTTPS)
Įeinantys prievadai	CASTOVIA nereikalauja nė vieno
Širdies dūžis	Kas 30 sekundžių (2–5 KB suspausta)
Autentifikavimas	Besisukantys TLS kliento sertifikatai (7 dienų rotacija)
Pralaidumas	< 1 MB/val. valdymo srautui
Elgsena neprisijungus	Aptarnauja talpykloje saugomą konfigūraciją, kaupia telemetriją, automatiškai prisijungia iš naujo
Srauto srautas	Niekada nenukreipiamas per CASTOVIA — lieka jūsų tinkle

Švarus pašalinimas

Jei pašalinsite mazgą, agentas visiškai susitvarko:

sudo castovia-agent uninstall --purge

Sustabdo ir pašalina systemd tarnybą

Ištrina dvejetainį failą iš /opt/castovia/

Pašalina visą konfigūraciją iš /etc/castovia/

Pašalina castovia-agent sistemos vartotoją

Atšaukia kliento sertifikatą CASTOVIA Cloud aplinkoje

Nelieka jokių failų, procesų ar cron užduočių

Administratoriaus skydelis Serverio sąranka Saugumas Kaip tai veikia