Агент и комуникација

Една команда. Целосно обезбедено.

CASTOVIA агентот се инсталира за помалку од 60 секунди, автоматски се грижи за безбедноста и комуницира со CASTOVIA Cloud преку шифрирани канали. Без рачни firewall правила, без SSH клучеви, без VPN.

Објаснување на командата за инсталација

Точно што се случува кога ќе го извршите еднолинискиот инсталер на вашиот Linux сервер.

Што прави командата

Еднолиниската команда за инсталација што ја копирате од CASTOVIA админската табла ги извршува следниве чекори на вашиот Linux сервер:

Го презема бинарниот фајл на CASTOVIA агентот (~15 MB) од официјалниот CDN

Ја проверува потписната верзија на бинарниот фајл (SHA-256 + GPG) за да спречи манипулација

Креира посебен системски корисник: castovia-agent (без login shell, без sudo)

Го инсталира бинарниот фајл во /opt/castovia/agent

Ја креира конфигурациската папка /etc/castovia/ со ограничени дозволи (0700)

Го запишува серверскиот токен (единствен за секој јазол) во /etc/castovia/token.conf

Го регистрира агентот како systemd сервис: castovia-agent.service

Го стартува сервисот и овозможува автоматско стартување при подигање

Изведува прво ракување со CASTOVIA Cloud за регистрација на јазолот

Вистинската команда

Командата што ја гледате во вашата админска табла изгледа вака:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN е единствен токен за еднократна употреба генериран за секој јазол. Истекува по 24 часа ако не се искористи.

Што агентот НЕ прави

Јасни граници. Агентот е намерно ограничен по опсег.

Не отвора влезни порти на вашиот сервер

Не ги менува правилата на firewall (iptables, nftables, firewalld)

Не инсталира или менува SSH клучеви

Не пристапува до други апликации на вашиот сервер

Не испраќа содржина на стримови преку CASTOVIA сервери (стримовите остануваат на ВАШАТА мрежа)

Не складира лични податоци на претплатници на јазолот

Не бара VPN или специјална мрежна конфигурација

Не работи како root по првичната инсталација

Безбедност — вградена, не додадена подоцна

Секоја безбедносна мерка е автоматска. Не е потребна рачна конфигурација.

Автентикација со серверски токен

автоматски

Секој јазол добива уникатен, криптографски случаен серверски токен (256-битен). Овој токен се генерира во CASTOVIA админот кога креирате јазол. Се користи еднаш при регистрација и потоа се заменува со ротирачки TLS клиент сертификат.

TLS 1.3 шифрирање

автоматски

Целата комуникација меѓу агентот и CASTOVIA Cloud користи TLS 1.3. Агентот ја верификува CASTOVIA сертификатната синџирна врска против закотвен root CA — без доверба во системската certificate store. Напади од типот man-in-the-middle не се можни.

Барања за firewall

автоматски

На агентот му треба само излезен HTTPS (порт 443) до CASTOVIA Cloud. Не треба да се отвораат влезни порти. Правилата на firewall на вашиот сервер остануваат недопрени — агентот не ги менува iptables, nftables или firewalld.

Не е потребен root пристап при извршување

автоматски

Агентот работи како посебен непривилегиран корисник (castovia-agent). Root му е потребен само при инсталација (за да се креира systemd сервис). При извршување, работи со минимални дозволи — читање од изворите на стримови, запишување во сопствениот cache директориум.

Автоматска ротација на сертификати

автоматски

Клиент сертификатите се ротираат на секои 7 дена. Агентот транспарентно се грижи за обновување. Ако сертификат истече (на пр., серверот бил офлајн), агентот користи безбеден re-enrollment тек што бара одобрување во CASTOVIA админот.

Следење на здравје и самостојно опоравување

автоматски

Агентот го следи сопственото здравје. Ако падне, systemd го рестартира во рок од 5 секунди. Ако не може да стигне до CASTOVIA Cloud, продолжува да служи кеширана конфигурација и ги реди метриките за подоцнежна испорака.

Комуникациски протокол

Како тече податоците меѓу вашиот сервер и CASTOVIA Cloud.

CASTOVIA Cloud → Агент (пуш на конфигурација)

Конфигурации на стримови (source URL-и, профили за транскодирање, распореди за снимање)

Nginx конфигурациски фрагменти за сервирање медиуми

Правила за catch-up и timeshift

EPG податоци и логотипи на канали

Доделувања на пакети/букети

Ажурирања на правата на претплатници

Технички: Конфигурацијата се испорачува како потпишани JSON payload-и. Агентот го валидира секој payload пред примена. Без raw SQL, без shell команди — само структурирана конфигурација.

Агент → CASTOVIA Cloud (телеметрија)

Здравје на серверот: CPU, RAM, искористеност на диск, мрежен I/O

Статус на стримови: активни стримови, bitrate, стапки на грешки

Статус на снимање: активни снимања, искористен простор, статус на завршување

Резултати од FFmpeg job-ови: завршување на транскодирање, грешки, големини на излезни фајлови

Број на врски од гледачи (анонимен агрегат — без лични податоци)

Верзија на агентот и достапност на ажурирања

Технички: Телеметријата се испраќа на секои 30 секунди преку HTTPS POST. Payload-от е компримиран (gzip) и шифриран. Просечна големина: 2–5 KB по интервал.

Мрежен преглед

Аспект	Детали
Протокол	HTTPS (TLS 1.3) со certificate pinning
Излезна порта	443 (само HTTPS)
Влезни порти	Ниедна не е потребна од CASTOVIA
Heartbeat	На секои 30 секунди (2–5 KB компресирано)
Автентикација	Ротирачки TLS клиент сертификати (ротација на 7 дена)
Пропусен опсег	< 1 MB/час за управувачки сообраќај
Однесување офлајн	Сервира кеширана конфигурација, реди телеметрија, автоматски се реконектира
Сообраќај на стримови	Никогаш не се рутира преку CASTOVIA — останува на вашата мрежа

Чисто деинсталирање

Ако отстраните јазол, агентот целосно се чисти:

sudo castovia-agent uninstall --purge

Го запира и отстранува systemd сервисот

Го брише бинарниот фајл од /opt/castovia/

Ја отстранува целата конфигурација од /etc/castovia/

Го отстранува системскиот корисник castovia-agent

Го поништува клиент сертификатот на CASTOVIA Cloud

Нема преостанати фајлови, процеси или cron задачи

Админска табла Поставување на сервер Безбедност Како работи