Agent a komunikácia

Jeden príkaz. Plne zabezpečené.

Agent CASTOVIA sa nainštaluje za menej ako 60 sekúnd, automaticky rieši bezpečnosť a komunikuje s CASTOVIA Cloud cez šifrované kanály. Žiadne manuálne firewall pravidlá, žiadne SSH kľúče, žiadne VPN.

Vysvetlenie inštalačného príkazu

Presne to, čo sa stane, keď spustíte jednoradový inštalátor na vašom Linux serveri.

Čo príkaz robí

Jednoradový inštalačný príkaz, ktorý skopírujete z administračného panela CASTOVIA, vykoná na vašom Linux serveri tieto kroky:

Stiahne binárku agenta CASTOVIA (~15 MB) z oficiálneho CDN

Overí podpis binárky (SHA-256 + GPG), aby sa zabránilo manipulácii

Vytvorí vyhradeného systémového používateľa: castovia-agent (bez login shellu, bez sudo)

Nainštaluje binárku do /opt/castovia/agent

Vytvorí konfiguračný adresár /etc/castovia/ s obmedzenými oprávneniami (0700)

Zapíše server token (jedinečný pre uzol) do /etc/castovia/token.conf

Zaregistruje agenta ako systemd službu: castovia-agent.service

Spustí službu a zapne automatické štartovanie po boote

Vykoná prvý handshake s CASTOVIA Cloud na registráciu uzla

Skutočný príkaz

Príkaz, ktorý vidíte v administračnom paneli, vyzerá takto:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN je jedinečný token na jedno použitie generovaný pre každý uzol. Ak sa nepoužije, vyprší po 24 hodinách.

Čo agent NEROBÍ

Jasné hranice. Agent je zámerne obmedzený svojím rozsahom.

Neotvára žiadne prichádzajúce porty na vašom serveri

Neupravuje vaše firewall pravidlá (iptables, nftables, firewalld)

Neinštaluje ani neupravuje SSH kľúče

Nepristupuje k iným aplikáciám na vašom serveri

Neposiela stream obsah cez servery CASTOVIA (streamy zostávajú vo vašej sieti)

Neukladá osobné údaje predplatiteľov na uzol

Nevyžaduje VPN ani špeciálnu sieťovú konfiguráciu

Po úvodnej inštalácii neběží ako root

Bezpečnosť — zabudovaná, nie dodatočne doplnená

Každé bezpečnostné opatrenie je automatické. Žiadna manuálna konfigurácia nie je potrebná.

Autentifikácia server tokenom

automaticky

Každý uzol dostane jedinečný, kryptograficky náhodný server token (256-bit). Tento token sa generuje v CASTOVIA administrácii pri vytvorení uzla. Použije sa raz počas registrácie a potom sa nahradí rotujúcim TLS klientskym certifikátom.

Šifrovanie TLS 1.3

automaticky

Všetka komunikácia medzi agentom a CASTOVIA Cloud používa TLS 1.3. Agent overuje reťazec certifikátov CASTOVIA voči pripnutému root CA — žiadna dôvera v systémové úložisko certifikátov. Man-in-the-middle útoky nie sú možné.

Požiadavky na firewall

automaticky

Agent potrebuje iba odchádzajúce HTTPS (port 443) do CASTOVIA Cloud. Žiadne prichádzajúce porty netreba otvárať. Pravidlá firewallu vášho servera zostávajú nedotknuté — agent neupravuje iptables, nftables ani firewalld.

Počas behu nie je potrebný root prístup

automaticky

Agent beží ako vyhradený neprivilegovaný používateľ (castovia-agent). Root potrebuje iba počas inštalácie (na vytvorenie systemd služby). Počas behu pracuje s minimálnymi oprávneniami — čítanie zo zdrojov streamov, zápis do vlastného cache adresára.

Automatická rotácia certifikátov

automaticky

Klientske certifikáty sa rotujú každých 7 dní. Agent sa stará o obnovu transparentne. Ak certifikát vyprší (napr. server bol offline), agent použije bezpečný re-enrollment tok, ktorý vyžaduje schválenie v CASTOVIA administrácii.

Monitoring stavu a samoliečenie

automaticky

Agent monitoruje vlastný stav. Ak spadne, systemd ho reštartuje do 5 sekúnd. Ak sa nedokáže pripojiť k CASTOVIA Cloud, pokračuje v obsluhe cacheovanej konfigurácie a metriky ukladá do fronty na neskoršie odoslanie.

Komunikačný protokol

Ako prúdia dáta medzi vaším serverom a CASTOVIA Cloud.

CASTOVIA Cloud → Agent (push konfigurácie)

Konfigurácie streamov (zdrojové URL, transcoding profily, plány nahrávania)

Konfiguračné fragmenty Nginx pre doručovanie médií

Pravidlá catch-up a timeshift

EPG dáta a logá kanálov

Priradenia balíkov/balíčkov

Aktualizácie oprávnení predplatiteľov

Technické: Konfigurácia sa doručuje ako podpísané JSON payloady. Agent overí každý payload pred aplikovaním. Žiadne raw SQL, žiadne shell príkazy — iba štruktúrovaná konfigurácia.

Agent → CASTOVIA Cloud (telemetria)

Stav servera: CPU, RAM, využitie disku, sieťové I/O

Stav streamov: aktívne streamy, bitrate, chybovosť

Stav nahrávania: aktívne nahrávania, využité úložisko, stav dokončenia

Výsledky úloh FFmpeg: dokončenie transcodovania, chyby, veľkosti výstupných súborov

Počty pripojení divákov (anonymne agregované — žiadne osobné údaje)

Verzia agenta a dostupnosť aktualizácie

Technické: Telemetria sa odosiela každých 30 sekúnd cez HTTPS POST. Payload je komprimovaný (gzip) a šifrovaný. Priemerná veľkosť: 2–5 KB na interval.

Prehľad siete

Aspekt	Detail
Protokol	HTTPS (TLS 1.3) s pripínaním certifikátu
Odchádzajúci port	443 (iba HTTPS)
Prichádzajúce porty	CASTOVIA nevyžaduje žiadne
Heartbeat	Každých 30 sekúnd (2–5 KB komprimované)
Autentifikácia	Rotujúce TLS klientské certifikáty (rotácia každých 7 dní)
Šírka pásma	< 1 MB/hod pre manažment traffic
Správanie offline	Obsluhuje cacheovanú konfiguráciu, ukladá telemetriu do fronty, automaticky sa znovu pripája
Stream traffic	Nikdy nie je smerovaný cez CASTOVIA — zostáva vo vašej sieti

Čistá odinštalácia

Ak odstránite uzol, agent sa úplne vyčistí:

sudo castovia-agent uninstall --purge

Zastaví a odstráni systemd službu

Vymaže binárku z /opt/castovia/

Odstráni všetky konfigurácie z /etc/castovia/

Odstráni systémového používateľa castovia-agent

Zruší klientsky certifikát v CASTOVIA Cloud

Žiadne zvyšné súbory, procesy ani cron úlohy

Admin Dashboard Nastavenie servera Bezpečnosť Ako to funguje