Agjent & Komunikim

Një komandë. Plotësisht e siguruar.

Agjenti CASTOVIA instalohet brenda më pak se 60 sekondave, merret automatikisht me sigurinë dhe komunikon me CASTOVIA Cloud përmes kanaleve të enkriptuara. Asnjë rregull manual për firewall, asnjë SSH key, asnjë VPN.

Shpjegimi i komandës së instalimit

Saktësisht çfarë ndodh kur ekzekutoni instaluesin me një linjë në serverin tuaj Linux.

Çfarë bën komanda

Komanda e instalimit me një linjë që kopjoni nga paneli i adminit CASTOVIA kryen hapat e mëposhtëm në serverin tuaj Linux:

Shkarkon binarin e agjentit CASTOVIA (~15 MB) nga CDN zyrtare

Verifikon nënshkrimin e binarit (SHA-256 + GPG) për të parandaluar manipulimin

Krijon një përdorues të dedikuar sistemi: castovia-agent (pa login shell, pa sudo)

Instalon binarin në /opt/castovia/agent

Krijon drejtorinë e konfigurimit /etc/castovia/ me leje të kufizuara (0700)

Shkruan token-in e serverit (unik për çdo nyje) në /etc/castovia/token.conf

Regjistron agjentin si shërbim systemd: castovia-agent.service

Nis shërbimin dhe aktivizon auto-start në boot

Kryen një handshake të parë me CASTOVIA Cloud për të regjistruar nyjën

Komanda reale

Komanda që shihni në panelin tuaj të adminit duket kështu:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN është një token unik, për përdorim një herë, i gjeneruar për çdo nyje. Skadon pas 24 orësh nëse nuk përdoret.

Çfarë NUK bën agjenti

Kufij të qartë. Agjenti është qëllimisht i kufizuar në shtrirje.

Nuk hap asnjë port hyrës në serverin tuaj

Nuk modifikon rregullat e firewall-it tuaj (iptables, nftables, firewalld)

Nuk instalon ose modifikon SSH keys

Nuk akseson aplikacionet e tjera në serverin tuaj

Nuk dërgon përmbajtjen e stream-it përmes serverëve CASTOVIA (streams mbeten në rrjetin tuaj)

Nuk ruan të dhëna personale të abonentëve në nyje

Nuk kërkon VPN ose konfigurim të veçantë të rrjetit

Nuk ekzekutohet si root pas instalimit fillestar

Siguria — e ndërtuar brenda, jo e shtuar më vonë

Çdo masë sigurie është automatike. Nuk kërkohet konfigurim manual.

Autentikimi me Server Token

automatike

Çdo nyje merr një token serveri unik, të gjeneruar rastësisht dhe kriptografikisht (256-bit). Ky token gjenerohet në adminin CASTOVIA kur krijoni një nyje. Përdoret një herë gjatë regjistrimit dhe më pas zëvendësohet nga një certifikatë klienti TLS rrotulluese.

Enkriptimi TLS 1.3

automatike

Të gjitha komunikimet midis agjentit dhe CASTOVIA Cloud përdorin TLS 1.3. Agjenti validon chain-in e certifikatës CASTOVIA kundër një root CA të pin-uar — pa besim te certificate store i sistemit. Sulmet man-in-the-middle nuk janë të mundshme.

Kërkesat e firewall-it

automatike

Agjenti ka nevojë vetëm për HTTPS dalës (porti 443) drejt CASTOVIA Cloud. Nuk duhet të hapen porte hyrëse. Rregullat e firewall-it të serverit tuaj mbeten të paprekura — agjenti nuk modifikon iptables, nftables ose firewalld.

Nuk kërkohet akses root në runtime

automatike

Agjenti ekzekutohet si përdorues i dedikuar pa privilegje (castovia-agent). I duhet root vetëm gjatë instalimit (për të krijuar shërbimin systemd). Në runtime, punon me leje minimale — akses leximi te burimet e stream-it, akses shkrimi te drejtoria e vet e cache-it.

Rrotullimi automatik i certifikatës

automatike

Certifikatat e klientit rrotullohen çdo 7 ditë. Agjenti merret me rinovimin në mënyrë transparente. Nëse një certifikatë skadon (p.sh., serveri ka qenë offline), agjenti përdor një rrjedhë të sigurt ri-regjistrimi që kërkon aprovimin në adminin CASTOVIA.

Monitorim gjendjeje & vetë-riparim

automatike

Agjenti monitoron gjendjen e vet. Nëse bie, systemd e rifillon brenda 5 sekondash. Nëse nuk arrin të lidhet me CASTOVIA Cloud, vazhdon të shërbejë konfigurimin e cache-uar dhe fut metrikat në radhë për dorëzim të mëvonshëm.

Protokolli i komunikimit

Si rrjedhin të dhënat midis serverit tuaj dhe CASTOVIA Cloud.

CASTOVIA Cloud → Agjent (Configuration Push)

Konfigurime stream-esh (source URLs, profile transcoding, orare regjistrimi)

Fragmente konfigurimi Nginx për shërbimin e medias

Rregulla catch-up dhe timeshift

Të dhëna EPG dhe logo kanalesh

Asignime pakete/buqete

Përditësime të entitlements të abonentëve

Teknik: Konfigurimi dorëzohet si payload-e JSON të nënshkruara. Agjenti validon çdo payload përpara aplikimit. Asnjë SQL i papërpunuar, asnjë komandë shell — vetëm konfigurim i strukturuar.

Agjent → CASTOVIA Cloud (Telemetry)

Gjendja e serverit: CPU, RAM, përdorimi i diskut, network I/O

Gjendja e stream-it: streams aktive, bitrate, norma gabimesh

Gjendja e regjistrimit: regjistrime aktive, hapësira e përdorur, statusi i përfundimit

Rezultatet e job-eve FFmpeg: përfundimi i transcode, gabime, madhësitë e skedarëve output

Numri i lidhjeve të shikuesve (agregat anonim — pa të dhëna personale)

Versioni i agjentit dhe disponueshmëria e përditësimeve

Teknik: Telemetry dërgohet çdo 30 sekonda përmes HTTPS POST. Payload-i është i kompresuar (gzip) dhe i enkriptuar. Madhësia mesatare: 2–5 KB për interval.

Përmbledhja e rrjetit

Aspekt	Detaj
Protokolli	HTTPS (TLS 1.3) me certificate pinning
Porta dalëse	443 (vetëm HTTPS)
Portat hyrëse	Asnjë e kërkuar nga CASTOVIA
Heartbeat	Çdo 30 sekonda (2–5 KB të kompresuara)
Autentikimi	Certifikata klienti TLS rrotulluese (rotacion 7-ditor)
Bandwidth	< 1 MB/orë për trafikun e menaxhimit
Sjellja offline	Shërben konfigurimin e cache-uar, fut telemetry në radhë, rilidhet automatikisht
Trafiku i stream-it	Nuk kalon kurrë përmes CASTOVIA — mbetet në rrjetin tuaj

Çinstalim i pastër

Nëse hiqni një nyje, agjenti pastron gjithçka plotësisht:

sudo castovia-agent uninstall --purge

Ndërpret dhe heq shërbimin systemd

Fshin binarin nga /opt/castovia/

Heq të gjitha konfigurimet nga /etc/castovia/

Heq përdoruesin sistem castovia-agent

Revokon certifikatën e klientit në CASTOVIA Cloud

Asnjë skedar, proces ose cron job i mbetur

Paneli i Adminit Konfigurimi i Serverit Siguria Si Funksionon