Agent & Comunicare

O singură comandă. Complet securizat.

Agentul CASTOVIA se instalează în mai puțin de 60 de secunde, gestionează automat securitatea și comunică cu CASTOVIA Cloud prin canale criptate. Fără reguli manuale de firewall, fără chei SSH, fără VPN.

Explicația comenzii de instalare

Exact ce se întâmplă când rulezi instalatorul într-o singură linie pe serverul tău Linux.

Ce face comanda

Comanda de instalare într-o singură linie pe care o copiezi din panoul de administrare CASTOVIA efectuează următorii pași pe serverul tău Linux:

Descarcă binarul agentului CASTOVIA (~15 MB) din CDN-ul oficial

Verifică semnătura binarului (SHA-256 + GPG) pentru a preveni alterarea

Creează un utilizator de sistem dedicat: castovia-agent (fără shell de login, fără sudo)

Instalează binarul în /opt/castovia/agent

Creează directorul de configurare /etc/castovia/ cu permisiuni restricționate (0700)

Scrie token-ul serverului (unic per nod) în /etc/castovia/token.conf

Înregistrează agentul ca serviciu systemd: castovia-agent.service

Pornește serviciul și activează auto-start la boot

Efectuează un prim handshake cu CASTOVIA Cloud pentru a înregistra nodul

Comanda propriu-zisă

Comanda pe care o vezi în panoul tău de administrare arată astfel:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN este un token unic, de o singură utilizare, generat per nod. Expiră după 24 de ore dacă nu este folosit.

Ce NU face agentul

Limite clare. Agentul este limitat intenționat ca domeniu de acțiune.

Nu deschide niciun port inbound pe serverul tău

Nu modifică regulile firewall-ului (iptables, nftables, firewalld)

Nu instalează și nu modifică chei SSH

Nu accesează alte aplicații de pe serverul tău

Nu trimite conținutul streamurilor prin serverele CASTOVIA (streamurile rămân pe rețeaua TA)

Nu stochează date personale ale abonaților pe nod

Nu necesită VPN sau configurare specială de rețea

Nu rulează ca root după instalarea inițială

Securitate — integrată, nu adăugată ulterior

Fiecare măsură de securitate este automată. Nu este necesară nicio configurare manuală.

Autentificare prin token de server

automat

Fiecărui nod i se atribuie un token de server unic, aleator criptografic (256-bit). Acest token este generat în adminul CASTOVIA când creezi un nod. Este folosit o singură dată la înregistrare și apoi înlocuit cu un certificat client TLS rotativ.

Criptare TLS 1.3

automat

Toată comunicarea dintre agent și CASTOVIA Cloud folosește TLS 1.3. Agentul validează lanțul de certificate CASTOVIA împotriva unui root CA fixat — fără încredere în magazinul de certificate al sistemului. Atacurile man-in-the-middle nu sunt posibile.

Cerințe de firewall

automat

Agentul are nevoie doar de trafic outbound HTTPS (portul 443) către CASTOVIA Cloud. Nu este necesară deschiderea niciunui port inbound. Regulile firewall-ului serverului rămân nemodificate — agentul nu modifică iptables, nftables sau firewalld.

Fără acces root la runtime

automat

Agentul rulează ca un utilizator dedicat, fără privilegii (castovia-agent). Are nevoie de root doar în timpul instalării (pentru a crea serviciul systemd). La runtime, funcționează cu permisiuni minime — acces de citire la sursele streamurilor, acces de scriere la propriul director de cache.

Rotirea automată a certificatelor

automat

Certificatele client se rotesc la fiecare 7 zile. Agentul gestionează reînnoirea transparent. Dacă un certificat expiră (de ex., serverul a fost offline), agentul folosește un flux securizat de reînrolare care necesită aprobare în adminul CASTOVIA.

Monitorizare a stării și auto-reparare

automat

Agentul își monitorizează propria stare. Dacă se blochează, systemd îl repornește în 5 secunde. Dacă nu poate ajunge la CASTOVIA Cloud, continuă să servească configurația cache-uită și pune metricile în coadă pentru livrare ulterioară.

Protocol de comunicare

Cum circulă datele între serverul tău și CASTOVIA Cloud.

CASTOVIA Cloud → Agent (Configuration Push)

Configurații de stream (source URLs, profile de transcoding, programe de înregistrare)

Fragmente de configurare Nginx pentru servirea media

Reguli catch-up și timeshift

Date EPG și logo-uri de canale

Atribuiri de pachete/bouquets

Actualizări ale drepturilor abonatului

Tehnic: Configurația este livrată sub formă de payload-uri JSON semnate. Agentul validează fiecare payload înainte de aplicare. Fără SQL brut, fără comenzi shell — doar configurație structurată.

Agent → CASTOVIA Cloud (Telemetry)

Starea serverului: CPU, RAM, utilizarea discului, I/O de rețea

Starea streamurilor: streamuri active, bitrate, rate de eroare

Starea înregistrărilor: înregistrări active, spațiul utilizat, statusul finalizării

Rezultatele joburilor FFmpeg: finalizarea transcoding-ului, erori, dimensiunile fișierelor de ieșire

Numărul de conexiuni ale vizualizatorilor (agregat anonim — fără date personale)

Versiunea agentului și disponibilitatea actualizărilor

Tehnic: Telemetry este trimisă la fiecare 30 de secunde prin HTTPS POST. Payload-ul este comprimat (gzip) și criptat. Dimensiune medie: 2–5 KB per interval.

Rezumat de rețea

Aspect	Detaliu
Protocol	HTTPS (TLS 1.3) cu certificate pinning
Port outbound	443 (doar HTTPS)
Porturi inbound	Niciunul necesar pentru CASTOVIA
Heartbeat	La fiecare 30 de secunde (2–5 KB comprimat)
Autentificare	Certificate client TLS rotative (rotire la 7 zile)
Bandă	< 1 MB/oră pentru traficul de administrare
Comportament offline	Servește configurația din cache, pune telemetry în coadă, se reconectează automat
Traficul streamurilor	Nu este niciodată rutat prin CASTOVIA — rămâne pe rețeaua ta

Dezinstalare completă

Dacă elimini un nod, agentul se curăță complet:

sudo castovia-agent uninstall --purge

Oprește și elimină serviciul systemd

Șterge binarul din /opt/castovia/

Elimină toată configurația din /etc/castovia/

Elimină utilizatorul de sistem castovia-agent

Revocă certificatul client în CASTOVIA Cloud

Nu rămân fișiere, procese sau joburi cron

Tablou de bord administrativ Configurare server Securitate Cum funcționează