Agent и комуникација

Једна команда. Потпуно заштићено.

CASTOVIA агент се инсталира за мање од 60 секунди, аутоматски управља безбедношћу и комуницира са CASTOVIA Cloud преко шифрованих канала. Без ручних firewall правила, без SSH кључева, без VPN-а.

Објашњење команде за инсталацију

Тачно шта се дешава када покренете једнолинијски инсталер на вашем Linux серверу.

Шта команда ради

Једнолинијска install команда коју копирате из CASTOVIA админ контролне табле извршава следеће кораке на вашем Linux серверу:

Преузима бинарни фајл CASTOVIA агента (~15 MB) са званичног CDN-а

Проверава потпис бинарног фајла (SHA-256 + GPG) да би спречио манипулацију

Креира посебног системског корисника: castovia-agent (без login shell-а, без sudo-а)

Инсталира бинарни фајл у /opt/castovia/agent

Креира конфигурациони директоријум /etc/castovia/ са ограниченим дозволама (0700)

Уписује server token (јединствен по чвору) у /etc/castovia/token.conf

Региструје агента као systemd сервис: castovia-agent.service

Покреће сервис и омогућава аутоматско стартовање при boot-у

Извршава почетни handshake са CASTOVIA Cloud ради регистрације чвора

Стварна команда

Команда коју видите у вашој админ контролној табли изгледа овако:

curl -sSL https://install.castovia.com/agent | sudo bash -s -- --token YOUR_SERVER_TOKEN

YOUR_SERVER_TOKEN је јединствени token за једнократну употребу који се генерише по чвору. Истиче после 24 сата ако се не искористи.

Шта агент НЕ ради

Јасне границе. Агент је намерно ограничен по обиму.

Не отвара било које долазне портове на вашем серверу

Не мења ваша firewall правила (iptables, nftables, firewalld)

Не инсталира нити мења SSH кључеве

Не приступа другим апликацијама на вашем серверу

Не шаље стрим садржај кроз CASTOVIA сервере (стримови остају на ВАШОЈ мрежи)

Не чува личне податке претплатника на чвору

Не захтева VPN нити посебну мрежну конфигурацију

Не ради као root после почетне инсталације

Безбедност — уграђена, а не накнадно додата

Свака безбедносна мера је аутоматска. Није потребна ручна конфигурација.

Аутентификација server token-ом

аутоматски

Сваки чвор добија јединствени, криптографски случајан server token (256-bit). Овај token се генерише у CASTOVIA админ делу када креирате чвор. Користи се једном током регистрације и затим се замењује ротирајућим TLS client сертификатом.

TLS 1.3 шифровање

аутоматски

Сва комуникација између агента и CASTOVIA Cloud користи TLS 1.3. Агент валидира CASTOVIA ланац сертификата против закаченог root CA — без ослањања на системско складиште сертификата. Man-in-the-middle напади нису могући.

Захтеви за firewall

аутоматски

Агенту је потребан само outbound HTTPS (порт 443) ка CASTOVIA Cloud. Ниједан inbound порт не мора да се отвара. Правила firewall-а на вашем серверу остају нетакнута — агент не мења iptables, nftables нити firewalld.

Root приступ није потребан у раду

аутоматски

Агент ради као посебан, неповлашћени корисник (castovia-agent). Root му је потребан само током инсталације (да би се креирао systemd сервис). Током рада ради са минималним дозволама — read приступ изворима стримова, write приступ сопственом cache директоријуму.

Аутоматска ротација сертификата

аутоматски

Client сертификати се ротирају сваких 7 дана. Агент транспарентно управља обнављањем. Ако сертификат истекне (нпр. сервер је био offline), агент користи безбедан re-enrollment ток који захтева одобрење у CASTOVIA админ делу.

Праћење здравља и самопоправка

аутоматски

Агент прати сопствено здравље. Ако се сруши, systemd га поново покреће у року од 5 секунди. Ако не може да досегне CASTOVIA Cloud, наставља да сервира кеширану конфигурацију и ставља метрику у ред за каснију испоруку.

Комуникациони протокол

Како подаци теку између вашег сервера и CASTOVIA Cloud.

CASTOVIA Cloud → Agent (Configuration Push)

Конфигурације стримова (source URL-ови, transcoding профили, распореди снимања)

Nginx конфигурациони фрагменти за сервирање медија

Catch-up и timeshift правила

EPG подаци и логотипи канала

Доделе пакета/букета

Ажурирања права претплатника

Технички: Конфигурација се испоручује као потписани JSON payload-и. Агент валидира сваки payload пре примене. Без raw SQL-а, без shell команди — само структурисана конфигурација.

Agent → CASTOVIA Cloud (Telemetry)

Здравље сервера: CPU, RAM, потрошња диска, мрежни I/O

Статус стримова: активни стримови, bitrate, стопе грешака

Статус снимања: активна снимања, искоришћен простор, статус завршетка

FFmpeg резултати послова: завршетак транскодирања, грешке, величине излазних фајлова

Бројеви повезивања гледалаца (анонимни агрегат — без личних података)

Верзија агента и доступност ажурирања

Технички: Телеметрија се шаље сваких 30 секунди преко HTTPS POST-а. Payload је компримован (gzip) и шифрован. Просечна величина: 2–5 KB по интервалу.

Преглед мреже

Аспект	Детаљ
Протокол	HTTPS (TLS 1.3) са certificate pinning-ом
Оdlazni port	443 (само HTTPS)
Долазни портови	CASTOVIA не захтева ниједан
Периодични сигнал	Сваких 30 секунди (2–5 KB компримовано)
Аутентификација	Ротирајући TLS client сертификати (ротација на 7 дана)
Пропусни опсег	< 1 MB/сат за управљачки саобраћај
Понашање ван мреже	Сервира кеширану конфигурацију, ставља телеметрију у ред, аутоматски се поново повезује
Саобраћај стримова	Никада се не усмерава кроз CASTOVIA — остаје на вашој мрежи

Чиста деинсталација

Ако уклоните чвор, агент се потпуно чисто уклања:

sudo castovia-agent uninstall --purge

Зауставља и уклања systemd сервис

Брише бинарни фајл из /opt/castovia/

Уклања сву конфигурацију из /etc/castovia/

Уклања системског корисника castovia-agent

Опозива client сертификат на CASTOVIA Cloud

Без заосталих фајлова, процеса или cron job-ова

Админ контролна табла Подешавање сервера Безбедност Како функционише