Agente e Comunicação

Um Comando. Totalmente Seguro.

O agente da CASTOVIA é instalado em menos de 60 segundos, lida automaticamente com a segurança e se comunica com a CASTOVIA Cloud por canais criptografados. Sem regras manuais de firewall, sem chaves SSH, sem VPN.

Explicação do Comando de Instalação

Exatamente o que acontece quando você executa o instalador de uma linha no seu servidor Linux.

O que o Comando Faz

O comando de instalação de uma linha que você copia do painel administrativo da CASTOVIA executa as seguintes etapas no seu servidor Linux:

Baixa o binário do agente da CASTOVIA (~15 MB) da CDN oficial

Verifica a assinatura do binário (SHA-256 + GPG) para evitar adulteração

Cria um usuário de sistema dedicado: castovia-agent (sem shell de login, sem sudo)

Instala o binário em /opt/castovia/agent

Cria o diretório de configuração /etc/castovia/ com permissões restritas (0700)

Grava o token do servidor (único por nó) em /etc/castovia/token.conf

Registra o agente como um serviço systemd: castovia-agent.service

Inicia o serviço e habilita a inicialização automática na inicialização do sistema

Executa um primeiro handshake com a CASTOVIA Cloud para registrar o nó

O Comando Exato

O comando que você vê no painel administrativo é assim:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN é um token único, de uso único, gerado por nó. Ele expira após 24 horas se não for usado.

O que o Agente NÃO Faz

Limites claros. O agente é deliberadamente restrito em escopo.

Abrir qualquer porta de entrada no seu servidor

Modificar suas regras de firewall (iptables, nftables, firewalld)

Instalar ou modificar chaves SSH

Acessar outros aplicativos no seu servidor

Enviar o conteúdo dos streams pelos servidores da CASTOVIA (os streams permanecem na SUA rede)

Armazenar dados pessoais dos assinantes no nó

Exigir uma VPN ou configuração especial de rede

Executar como root após a instalação inicial

Segurança — Integrada, não improvisada

Toda medida de segurança é automática. Nenhuma configuração manual é necessária.

Autenticação por Token do Servidor

automático

Cada nó recebe um token de servidor exclusivo e aleatório criptograficamente (256 bits). Esse token é gerado no admin da CASTOVIA quando você cria um nó. Ele é usado uma vez durante o registro e depois substituído por um certificado de cliente TLS rotativo.

Criptografia TLS 1.3

automático

Toda a comunicação entre o agente e a CASTOVIA Cloud usa TLS 1.3. O agente valida a cadeia de certificados da CASTOVIA em relação a uma CA raiz fixada — sem confiar no armazenamento de certificados do sistema. Ataques man-in-the-middle não são possíveis.

Requisitos de Firewall

automático

O agente precisa apenas de HTTPS de saída (porta 443) para a CASTOVIA Cloud. Nenhuma porta de entrada precisa ser aberta. As regras de firewall do seu servidor permanecem intocadas — o agente não modifica iptables, nftables nem firewalld.

Sem Acesso Root em Tempo de Execução

automático

O agente é executado como um usuário dedicado sem privilégios (castovia-agent). Ele só precisa de root durante a instalação (para criar o serviço systemd). Em tempo de execução, opera com permissões mínimas — leitura das fontes de stream, gravação no seu próprio diretório de cache.

Rotação Automática de Certificados

automático

Os certificados de cliente são rotacionados a cada 7 dias. O agente cuida da renovação de forma transparente. Se um certificado expirar (por exemplo, se o servidor ficou offline), o agente usa um fluxo seguro de re-registro que exige aprovação no admin da CASTOVIA.

Monitoramento de Saúde e Auto-recuperação

automático

O agente monitora a própria saúde. Se travar, o systemd o reinicia em até 5 segundos. Se não conseguir alcançar a CASTOVIA Cloud, continua servindo a configuração em cache e enfileira métricas para envio posterior.

Protocolo de Comunicação

Como os dados fluem entre seu servidor e a CASTOVIA Cloud.

CASTOVIA Cloud → Agente (Envio de Configuração)

Configurações de stream (URLs de origem, perfis de transcoding, agendamentos de gravação)

Fragmentos de configuração do Nginx para distribuição de mídia

Regras de catch-up e timeshift

Dados de EPG e logos dos canais

Associações de pacotes/bouquets

Atualizações de direitos de assinatura

Técnico: A configuração é entregue como payloads JSON assinados. O agente valida cada payload antes de aplicá-lo. Sem SQL bruto, sem comandos de shell — apenas configuração estruturada.

Agente → CASTOVIA Cloud (Telemetria)

Saúde do servidor: CPU, RAM, uso de disco, I/O de rede

Status do stream: streams ativos, bitrate, taxas de erro

Status de gravação: gravações ativas, armazenamento usado, status de conclusão

Resultados de jobs do FFmpeg: conclusão de transcode, erros, tamanhos dos arquivos de saída

Contagem de conexões de espectadores (agregado anônimo — sem dados pessoais)

Versão do agente e disponibilidade de atualização

Técnico: A telemetria é enviada a cada 30 segundos via HTTPS POST. O payload é compactado (gzip) e criptografado. Tamanho médio: 2–5 KB por intervalo.

Resumo da Rede

Aspecto	Detalhe
Protocolo	HTTPS (TLS 1.3) com pinning de certificado
Porta de Saída	443 (somente HTTPS)
Portas de Entrada	Nenhuma exigida pela CASTOVIA
Heartbeat	A cada 30 segundos (2–5 KB compactados)
Autenticação	Certificados de cliente TLS rotativos (rotação a cada 7 dias)
Largura de Banda	< 1 MB/hora para tráfego de gerenciamento
Comportamento Offline	Serve configuração em cache, enfileira telemetria, reconecta automaticamente
Tráfego de Stream	Nunca é roteado pela CASTOVIA — permanece na sua rede

Desinstalação Limpa

Se você remover um nó, o agente limpa tudo completamente:

sudo castovia-agent uninstall --purge

Interrompe e remove o serviço systemd

Exclui o binário de /opt/castovia/

Remove toda a configuração de /etc/castovia/

Remove o usuário de sistema castovia-agent

Revoga o certificado de cliente na CASTOVIA Cloud

Sem arquivos, processos ou tarefas cron restantes

Painel Administrativo Configuração do Servidor Segurança Como Funciona