Agent & kommunikation

Ett kommando. Fullt säkrat.

CASTOVIA-agenten installeras på under 60 sekunder, hanterar säkerheten automatiskt och kommunicerar med CASTOVIA Cloud över krypterade kanaler. Inga manuella brandväggsregler, inga SSH-nycklar, ingen VPN.

Installationskommandot förklarat

Exakt vad som händer när du kör enradinstallationen på din Linux-server.

Vad kommandot gör

Installationskommandot på en rad som du kopierar från CASTOVIA:s adminpanel utför följande steg på din Linux-server:

Hämtar CASTOVIA-agentens binärfil (~15 MB) från det officiella CDN:et

Verifierar binärfilens signatur (SHA-256 + GPG) för att förhindra manipulering

Skapar en dedikerad systemanvändare: castovia-agent (ingen inloggningsskal, ingen sudo)

Installerar binärfilen till /opt/castovia/agent

Skapar konfigurationskatalogen /etc/castovia/ med begränsade rättigheter (0700)

Skriver server-token (unik per nod) till /etc/castovia/token.conf

Registrerar agenten som en systemd-tjänst: castovia-agent.service

Startar tjänsten och aktiverar automatisk start vid uppstart

Utför ett första handshake med CASTOVIA Cloud för att registrera noden

Det faktiska kommandot

Kommandot du ser i adminpanelen ser ut så här:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN är en unik, engångstoken som genereras per nod. Den upphör att gälla efter 24 timmar om den inte används.

Vad agenten INTE gör

Tydliga gränser. Agenten är medvetet begränsad i omfattning.

Öppnar inga inkommande portar på din server

Ändrar inte dina brandväggsregler (iptables, nftables, firewalld)

Installerar eller ändrar inte SSH-nycklar

Kommer inte åt andra applikationer på din server

Skickar inte streaminnehåll via CASTOVIA-servrar (streams stannar i DITT nätverk)

Lagrar inte personlig prenumerantdata på noden

Kräver inte VPN eller särskild nätverkskonfiguration

Kör inte som root efter den initiala installationen

Säkerhet — inbyggd, inte påklistrad

Varje säkerhetsåtgärd är automatisk. Ingen manuell konfiguration krävs.

Autentisering med server-token

automatisk

Varje nod får en unik, kryptografiskt slumpmässig server-token (256-bit). Denna token genereras i CASTOVIA-admin när du skapar en nod. Den används en gång vid registrering och ersätts sedan av ett roterande TLS-klientcertifikat.

TLS 1.3-kryptering

automatisk

All kommunikation mellan agenten och CASTOVIA Cloud använder TLS 1.3. Agenten validerar CASTOVIA-certifikatkedjan mot en pinnad root CA — inget förtroende för systemets certifikatlager. Man-in-the-middle-attacker är inte möjliga.

Brandväggskrav

automatisk

Agenten behöver endast utgående HTTPS (port 443) till CASTOVIA Cloud. Inga inkommande portar behöver öppnas. Din servers brandväggsregler förblir orörda — agenten ändrar inte iptables, nftables eller firewalld.

Ingen root-åtkomst krävs vid körning

automatisk

Agenten körs som en dedikerad obehörig användare (castovia-agent). Den behöver endast root under installationen (för att skapa systemd-tjänsten). Vid körning arbetar den med minimala rättigheter — läsrätt till streamkällor, skrivrätt till sin egen cache-katalog.

Automatisk certifikatrotation

automatisk

Klientcertifikat roterar var 7:e dag. Agenten hanterar förnyelsen transparent. Om ett certifikat går ut (t.ex. om servern varit offline) använder agenten ett säkert återregistreringsflöde som kräver godkännande i CASTOVIA-admin.

Hälsövervakning & självläkning

automatisk

Agenten övervakar sin egen hälsa. Om den kraschar startar systemd om den inom 5 sekunder. Om den inte kan nå CASTOVIA Cloud fortsätter den att leverera cachad konfiguration och köar mätvärden för senare leverans.

Kommunikationsprotokoll

Hur data flödar mellan din server och CASTOVIA Cloud.

CASTOVIA Cloud → Agent (konfigurationspush)

Streamkonfigurationer (käll-URL:er, transcoder-profiler, inspelningsscheman)

Nginx-konfigurationsfragment för medieleverans

Regler för catch-up och timeshift

EPG-data och kanallogotyper

Tilldelningar av paket/buketter

Uppdateringar av prenumeranters behörigheter

Tekniskt: Konfiguration levereras som signerade JSON-payloads. Agenten validerar varje payload innan den tillämpas. Ingen rå SQL, inga shell-kommandon — endast strukturerad konfiguration.

Agent → CASTOVIA Cloud (telemetri)

Serverhälsa: CPU, RAM, diskanvändning, nätverks-I/O

Streamstatus: aktiva streams, bitrate, felfrekvenser

Inspelningsstatus: aktiva inspelningar, använt lagringsutrymme, slutförandestatus

FFmpeg-jobbresultat: slutförd transkodning, fel, storlek på utdatafiler

Antal anslutna tittare (anonym aggregering — ingen personlig data)

Agentversion och tillgängliga uppdateringar

Tekniskt: Telemetri skickas var 30:e sekund via HTTPS POST. Payloaden är komprimerad (gzip) och krypterad. Genomsnittlig storlek: 2–5 KB per intervall.

Nätverkssammanfattning

Aspekt	Detalj
Protokoll	HTTPS (TLS 1.3) med certifikatsfästning
Utgående port	443 (endast HTTPS)
Inkommande portar	Inga krävs av CASTOVIA
Heartbeat	Var 30:e sekund (2–5 KB komprimerat)
Autentisering	Roterande TLS-klientcertifikat (7-dagars rotation)
Bandbredd	< 1 MB/timme för managementtrafik
Offlinebeteende	Levererar cachad konfiguration, köar telemetri, återansluter automatiskt
Streamtrafik	Routas aldrig via CASTOVIA — stannar i ditt nätverk

Ren avinstallation

Om du tar bort en nod städar agenten upp helt:

sudo castovia-agent uninstall --purge

Stoppar och tar bort systemd-tjänsten

Raderar binärfilen från /opt/castovia/

Tar bort all konfiguration från /etc/castovia/

Tar bort systemanvändaren castovia-agent

Återkallar klientcertifikatet i CASTOVIA Cloud

Inga kvarvarande filer, processer eller cron-jobb

Adminpanel Serverinstallation Säkerhet Så fungerar det