Backlog Unificado
Projeto: RioNoTeatro. Fonte principal: /www/wwwroot/rionoteatro.com.br/docs/BACKLOG.md.
Modo read-only: ações de escrita ficam disponíveis apenas para o Cérebro.
Sem itens pendentes em /www/wwwroot/rionoteatro.com.br/docs/BACKLOG.md.
Especificações Disponíveis (fora da fila pendente)
- BK-136
- BK-137
- BK-138
- BK-147
- BK-148
- BK-149
- BK-150
- BK-151
- BK-156
- BK-158
- BK-159
- BK-160
- BK-161
- BK-162
- BK-163
- BK-164
- BK-165
- BK-166
- BK-170
- BK-171
- BK-172
- BK-177
- BK-183
- BK-186
- BK-187
- BK-189
- BK-190
- BK-191
- BK-192
- BK-193
- BK-195
- BK-196
- BK-197
- BK-198
- BK-199
- BK-201
- BK-205
- BK-207
- BK-208
- BK-209
- BK-210
- BK-211
- BK-212
- BK-213
- BK-214
- BK-215
- BK-216
- BK-217
- BK-218
- BK-219
- BK-220
- BK-221
- BK-229
- BK-230
- BK-231
- BK-232
- BK-233
- BK-234
- BK-235
- BK-236
- BK-239
- BK-240
- BK-241
- BK-242
- BK-243
- BK-244
- BK-245
- BK-246
- BK-248
- BK-249
- BK-250
- BK-251
- BK-252
- BK-253
- BK-254
- BK-255
- BK-256
- BK-257
- BK-258
- BK-259
- BK-260
- BK-261
- BK-262
- BK-263
- BK-264
- BK-265
- BK-266
- BK-267
- BK-268
- BK-269
- BK-270
- BK-271
- BK-272
- BK-275
- BK-276
- BK-277
- BK-278
- BK-279
- BK-280
- BK-295
- BK-313
Detalhe do BK Selecionado
/www/wwwroot/rionoteatro.com.br/docs/backlog/BK-149-hardening-permissoes-runtime-social.md • 2026-03-19T22:54:27.353Z
BK-149 · Hardening de permissoes e arquivos runtime do social
Natureza deste arquivo
- Este backlog vivo registra o escopo funcional e documental do BK-149.
- O histórico final desta entrega fica em
docs/changelog/2026/CL-2026-03-19-BK-149.md.
Status
- Estado do BK: concluído e regularizado documentalmente
- Responsável: codex
- Branch técnica em fechamento:
vps/BK-149-hardening-social
Problema
- O fluxo social ainda usava padrões frágeis de
0777/0666em diretórios, locks, states e runtimes de fallback. - O endurecimento cego para
0755/0644também quebraria os caminhos multi-worker compartilhados entre cron CLI e painel web. - A política do relay ainda mantinha documentação ambígua sobre permissões frouxas.
Objetivo
- Diferenciar paths exclusivos do backend de paths multi-worker compartilhados.
- Endurecer o que é read-only sem quebrar a escrita cruzada legítima entre cron e painel.
- Registrar checklist operacional e rollback canônicos para o relay/runtime social.
Escopo entregue
admin/cron/sync_facebook_events.php- state/lock/shared runtime passaram a tentar
0664com fallback explícito para0666; - diretórios compartilhados passaram a tentar
02775com fallback explícito para0777; - artefatos read-only ficaram em
0644/0755; - falhas de criação/permissão passaram a gerar
error_logexplícito. admin/cron/sync_facebook_page_events.php- runtime do fallback browser passou a criar diretórios compartilhados com política alinhada;
- queue/sample usados pelo painel de approval agora recebem permissão de escrita compartilhada;
- falhas de persistência passaram a abortar com erro claro.
docs/AI_CEREBRO_RELAY.md- política base de permissões reescrita;
- checklist operacional e rollback registrados;
777deixou de ser instrução padrão e virou rollback emergencial.
Fora de escopo
- Não houve mudança cega de owner/grupo.
- Não houve hardening global do projeto fora do fluxo social.
- Não houve refatoração grande dos crons.
Validações executadas
php -l admin/cron/sync_facebook_events.phpphp -l admin/cron/sync_facebook_page_events.phpgit diff --check
Path List
admin/cron/sync_facebook_events.phpadmin/cron/sync_facebook_page_events.phpdocs/AI_CEREBRO_RELAY.mddocs/BACKLOG.mddocs/CHANGELOG.mddocs/LOCK.mddocs/backlog/BK-149-hardening-permissoes-runtime-social.mddocs/changelog/2026/CL-2026-03-19-BK-149.md