Ejen & Komunikasi

Satu Arahan. Sepenuhnya Selamat.

Ejen CASTOVIA dipasang dalam kurang daripada 60 saat, mengendalikan keselamatan secara automatik, dan berkomunikasi dengan CASTOVIA Cloud melalui saluran yang disulitkan. Tiada peraturan firewall manual, tiada kunci SSH, tiada VPN.

Penjelasan Arahan Pemasangan

Apa yang berlaku dengan tepat apabila anda menjalankan pemasang satu baris pada pelayan Linux anda.

Apa yang Dilakukan oleh Arahan

Arahan pemasangan satu baris yang anda salin dari papan pemuka pentadbir CASTOVIA melakukan langkah-langkah berikut pada pelayan Linux anda:

Memuat turun binari ejen CASTOVIA (~15 MB) daripada CDN rasmi

Mengesahkan tandatangan binari (SHA-256 + GPG) untuk mencegah gangguan

Mencipta pengguna sistem khusus: castovia-agent (tiada shell log masuk, tiada sudo)

Memasang binari ke /opt/castovia/agent

Mencipta direktori konfigurasi /etc/castovia/ dengan kebenaran terhad (0700)

Menulis token pelayan (unik bagi setiap nod) ke /etc/castovia/token.conf

Mendaftarkan ejen sebagai servis systemd: castovia-agent.service

Memulakan servis dan mengaktifkan mula automatik ketika boot

Melakukan handshake pertama dengan CASTOVIA Cloud untuk mendaftarkan nod

Arahan Sebenar

Arahan yang anda lihat dalam papan pemuka pentadbir anda kelihatan seperti ini:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN ialah token unik, sekali guna yang dijana bagi setiap nod. Ia tamat selepas 24 jam jika tidak digunakan.

Apa yang TIDAK Dilakukan oleh Ejen

Had yang jelas. Skop ejen ini sengaja dihadkan.

Tidak membuka mana-mana port masuk pada pelayan anda

Tidak mengubah peraturan firewall anda (iptables, nftables, firewalld)

Tidak memasang atau mengubah kunci SSH

Tidak mengakses aplikasi lain pada pelayan anda

Tidak menghantar kandungan strim melalui pelayan CASTOVIA (strim kekal pada rangkaian ANDA)

Tidak menyimpan data peribadi pelanggan pada nod

Tidak memerlukan VPN atau konfigurasi rangkaian khas

Tidak berjalan sebagai root selepas pemasangan awal

Keselamatan — Dibina Dalam, Bukan Ditambah Kemudian

Setiap langkah keselamatan adalah automatik. Tiada konfigurasi manual diperlukan.

Pengesahan Token Pelayan

automatik

Setiap nod mendapat token pelayan unik yang dijana secara kriptografi dan rawak (256-bit). Token ini dijana dalam pentadbir CASTOVIA apabila anda mencipta nod. Ia digunakan sekali semasa pendaftaran dan kemudian digantikan dengan sijil klien TLS yang berputar.

Penyulitan TLS 1.3

automatik

Semua komunikasi antara ejen dan CASTOVIA Cloud menggunakan TLS 1.3. Ejen mengesahkan rantaian sijil CASTOVIA terhadap root CA yang dipinned — tiada kepercayaan pada stor sijil sistem. Serangan man-in-the-middle tidak boleh dilakukan.

Keperluan Firewall

automatik

Ejen hanya memerlukan HTTPS keluar (port 443) ke CASTOVIA Cloud. Tiada port masuk perlu dibuka. Peraturan firewall pelayan anda kekal tidak disentuh — ejen tidak mengubah iptables, nftables atau firewalld.

Tiada Akses Root Diperlukan Semasa Runtime

automatik

Ejen berjalan sebagai pengguna tanpa keistimewaan yang khusus (castovia-agent). Ia hanya memerlukan root semasa pemasangan (untuk mencipta servis systemd). Semasa runtime, ia beroperasi dengan kebenaran minimum — akses baca kepada sumber strim, akses tulis ke direktori cache sendiri.

Putaran Sijil Automatik

automatik

Sijil klien berputar setiap 7 hari. Ejen mengendalikan pembaharuan secara telus. Jika sijil tamat tempoh (cth., pelayan berada luar talian), ejen menggunakan aliran pendaftaran semula yang selamat yang memerlukan kelulusan dalam pentadbir CASTOVIA.

Pemantauan Kesihatan & Pemulihan Diri

automatik

Ejen memantau kesihatannya sendiri. Jika ia ranap, systemd memulakannya semula dalam masa 5 saat. Jika ia tidak dapat mencapai CASTOVIA Cloud, ia terus menyajikan konfigurasi cache dan menempatkan metrik dalam baris gilir untuk penghantaran kemudian.

Protokol Komunikasi

Bagaimana data mengalir antara pelayan anda dan CASTOVIA Cloud.

CASTOVIA Cloud → Ejen (Tolak Konfigurasi)

Konfigurasi strim (URL sumber, profil transcoding, jadual rakaman)

Fragmen konfigurasi Nginx untuk penyajian media

Peraturan catch-up dan timeshift

Data EPG dan logo saluran

Tugasan pakej/bouquet

Kemas kini kelayakan pelanggan

Teknikal: Konfigurasi dihantar sebagai muatan JSON yang ditandatangani. Ejen mengesahkan setiap muatan sebelum menerapkannya. Tiada SQL mentah, tiada arahan shell — hanya konfigurasi berstruktur.

Ejen → CASTOVIA Cloud (Telemetri)

Kesihatan pelayan: CPU, RAM, penggunaan cakera, I/O rangkaian

Status strim: strim aktif, bitrate, kadar ralat

Status rakaman: rakaman aktif, storan digunakan, status siap

Keputusan kerja FFmpeg: penyelesaian transcode, ralat, saiz fail output

Kiraan sambungan penonton (agregat tanpa nama — tiada data peribadi)

Versi ejen dan ketersediaan kemas kini

Teknikal: Telemetri dihantar setiap 30 saat melalui HTTPS POST. Muatan dimampatkan (gzip) dan disulitkan. Saiz purata: 2–5 KB setiap selang.

Ringkasan Rangkaian

Aspek	Butiran
Protokol	HTTPS (TLS 1.3) dengan pinning sijil
Port Keluar	443 (HTTPS sahaja)
Port Masuk	Tiada yang diperlukan oleh CASTOVIA
Nadi	Setiap 30 saat (2–5 KB dimampatkan)
Pengesahan	Sijil klien TLS yang berputar (putaran 7 hari)
Jalur Lebar	< 1 MB/jam untuk trafik pengurusan
Gelagat Luar Talian	Menyajikan konfigurasi cache, menempatkan telemetri dalam baris gilir, sambung semula secara automatik
Trafik Strim	Tidak pernah melalui CASTOVIA — kekal pada rangkaian anda

Nyahpasang Bersih

Jika anda mengalih keluar nod, ejen membersihkannya sepenuhnya:

sudo castovia-agent uninstall --purge

Menghentikan dan mengeluarkan servis systemd

Memadam binari dari /opt/castovia/

Membuang semua konfigurasi dari /etc/castovia/

Menghapuskan pengguna sistem castovia-agent

Membatalkan sijil klien pada CASTOVIA Cloud

Tiada fail, proses atau tugas cron yang tertinggal

Papan Pemuka Pentadbir Persediaan Pelayan Keselamatan Cara Ia Berfungsi