Agent i komunikacija

Jedna naredba. Potpuno sigurno.

CASTOVIA agent se instalira za manje od 60 sekundi, automatski upravlja sigurnošću i komunicira s CASTOVIA Cloudom preko enkriptirnih kanala. Bez ručnih firewall pravila, SSH ključeva ni VPN-a.

Objašnjenje naredbe za instalaciju

Točno što se događa kada pokrenete jednoredni instalacijski program na svom Linux poslužitelju.

Što naredba radi

Jednoredna instalacijska naredba koju kopirate iz CASTOVIA administratorske nadzorne ploče izvršava sljedeće korake na vašem Linux poslužitelju:

Preuzima binarnu datoteku CASTOVIA agenta (~15 MB) sa službenog CDN-a

Provjerava potpis binarne datoteke (SHA-256 + GPG) kako bi spriječio neovlaštene izmjene

Stvara namjenskog sistemskog korisnika: castovia-agent (bez login ljuske, bez sudoa)

Instalira binarnu datoteku u /opt/castovia/agent

Stvara konfiguracijski direktorij /etc/castovia/ s ograničenim dopuštenjima (0700)

Zapisuje server token (jedinstven za svaki čvor) u /etc/castovia/token.conf

Registrira agenta kao systemd servis: castovia-agent.service

Pokreće servis i omogućuje automatsko pokretanje pri dizanju sustava

Izvršava prvi handshake s CASTOVIA Cloudom radi registracije čvora

Stvarna naredba

Naredba koju vidite na svojoj administratorskoj nadzornoj ploči izgleda ovako:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN je jedinstven token za jednokratnu upotrebu generiran za svaki čvor. Istječe nakon 24 sata ako se ne upotrijebi.

Što agent NE radi

Jasne granice. Opseg djelovanja agenta namjerno je ograničen.

Ne otvara nijedne ulazne portove na vašem poslužitelju

Ne mijenja vaša firewall pravila (iptables, nftables, firewalld)

Ne instalira niti mijenja SSH ključeve

Ne pristupa drugim aplikacijama na vašem poslužitelju

Ne šalje sadržaj streama kroz CASTOVIA poslužitelje (streamovi ostaju na VAŠOJ mreži)

Ne pohranjuje osobne podatke pretplatnika na čvor

Ne zahtijeva VPN ni posebnu mrežnu konfiguraciju

Ne radi kao root nakon početne instalacije

Sigurnost — ugrađena, ne naknadno dodana

Svaka sigurnosna mjera je automatska. Nije potrebna ručna konfiguracija.

Autentikacija putem server tokena

automatski

Svaki čvor dobiva jedinstven, kriptografski nasumičan server token (256-bitni). Taj se token generira u CASTOVIA administraciji kada kreirate čvor. Upotrebljava se jednom tijekom registracije, a zatim ga zamjenjuje rotirajući TLS klijentski certifikat.

Enkripcija TLS 1.3

automatski

Sva komunikacija između agenta i CASTOVIA Clouda koristi TLS 1.3. Agent provjerava lanac CASTOVIA certifikata prema unaprijed prikvačenom root CA-u — nema povjerenja u sistemsku pohranu certifikata. Napadi posrednika nisu mogući.

Zahtjevi za firewall

automatski

Agentu je potreban samo izlazni HTTPS (port 443) prema CASTOVIA Cloudu. Nema potrebe otvarati ulazne portove. Pravila firewalla vašeg poslužitelja ostaju netaknuta — agent ne mijenja iptables, nftables ni firewalld.

Nije potreban root pristup tijekom rada

automatski

Agent radi kao namjenski korisnik bez privilegija (castovia-agent). Root mu je potreban samo tijekom instalacije (za stvaranje systemd servisa). Tijekom rada ima minimalne ovlasti — pristup za čitanje izvorima streamova i pristup za pisanje u vlastiti cache direktorij.

Automatska rotacija certifikata

automatski

Klijentski certifikati rotiraju se svakih 7 dana. Agent transparentno upravlja obnovom. Ako certifikat istekne (npr. poslužitelj je bio izvan mreže), agent koristi siguran postupak ponovne registracije koji zahtijeva odobrenje u CASTOVIA administraciji.

Nadziranje zdravlja i samooporavak

automatski

Agent nadzire vlastito stanje. Ako se sruši, systemd ga ponovno pokreće unutar 5 sekundi. Ako ne može dosegnuti CASTOVIA Cloud, nastavlja posluživati predmemoriranu konfiguraciju i stavlja metrike u red za kasniju isporuku.

Protokol komunikacije

Kako podaci teku između vašeg poslužitelja i CASTOVIA Clouda.

CASTOVIA Cloud → Agent (push konfiguracije)

Konfiguracije streamova (izvorni URL-ovi, profili transkodiranja, rasporedi snimanja)

Isječci Nginx konfiguracije za posluživanje medija

Pravila catch-upa i timeshifta

EPG podaci i logotipi kanala

Dodjele paketa/buketa

Ažuriranja prava pretplatnika

Tehnički: Konfiguracija se isporučuje kao potpisani JSON payloadi. Agent provjerava svaki payload prije primjene. Nema sirovog SQL-a, nema shell naredbi — samo strukturirana konfiguracija.

Agent → CASTOVIA Cloud (telemetrija)

Zdravlje poslužitelja: CPU, RAM, iskorištenost diska, mrežni I/O

Status streamova: aktivni streamovi, bitrate, stope pogrešaka

Status snimanja: aktivna snimanja, iskorišten prostor, status dovršenosti

Rezultati FFmpeg poslova: dovršetak transkodiranja, pogreške, veličine izlaznih datoteka

Broj povezanih gledatelja (anonimni agregat — bez osobnih podataka)

Verzija agenta i dostupnost ažuriranja

Tehnički: Telemetrija se šalje svakih 30 sekundi putem HTTPS POST-a. Payload je komprimiran (gzip) i enkriptiran. Prosječna veličina: 2–5 KB po intervalu.

Sažetak mreže

Aspekt	Detalj
Protokol	HTTPS (TLS 1.3) s prikvačivanjem certifikata
Izlazni port	443 (samo HTTPS)
Ulazni portovi	CASTOVIA ne zahtijeva nijedan
Signal života	Svakih 30 sekundi (2–5 KB komprimirano)
Autentikacija	Rotirajući TLS klijentski certifikati (rotacija svakih 7 dana)
Propusnost	< 1 MB/sat za upravljački promet
Ponašanje izvan mreže	Poslužuje predmemoriranu konfiguraciju, stavlja telemetriju u red i automatski se ponovno povezuje
Promet streamova	Nikada se ne usmjerava kroz CASTOVIA — ostaje na vašoj mreži

Čisto uklanjanje

Ako uklonite čvor, agent se u potpunosti čisti:

sudo castovia-agent uninstall --purge

Zaustavlja i uklanja systemd servis

Briše binarnu datoteku iz /opt/castovia/

Uklanja svu konfiguraciju iz /etc/castovia/

Uklanja sistemskog korisnika castovia-agent

Opoziva klijentski certifikat na CASTOVIA Cloudu

Bez preostalih datoteka, procesa ili cron poslova

Administratorska nadzorna ploča Postavljanje poslužitelja Sigurnost Kako radi