Cerebro Studio · Backlog · Changelog
RioNoTeatro • /www/wwwroot/rionoteatro.com.br/docs/changelog/2026/CL-2026-03-19-BK-149.md • 2026-03-19T22:54:27.353Z
CerebroRioNoTeatroLegalizaRJSeuImovelEdmundo10SigaAutoBotVoneinhaUnivision OlhosTrueStay

CL-2026-03-19-BK-149 · Hardening de permissoes e arquivos runtime do social

Resumo

  • O fluxo social deixou de tratar permissões de runtime de forma cega.
  • Paths compartilhados entre cron CLI e painel web passaram a ser tratados como multi-worker.
  • Paths de artefatos read-only passaram a receber permissão mais estrita.

Escopo entregue

  • admin/cron/sync_facebook_events.php
  • diferencia state/lock/runtime compartilhado de artefato read-only;
  • usa 0664 / 0666 em arquivos compartilhados e 02775 / 0777 em diretórios compartilhados;
  • mantém 0644 / 0755 nos artefatos de saída que não sofrem escrita posterior.
  • admin/cron/sync_facebook_page_events.php
  • alinhado ao mesmo contrato de diretório compartilhado;
  • queue/sample do fallback browser passam a receber permissão de escrita compartilhada porque o painel de approval os regrava.
  • docs/AI_CEREBRO_RELAY.md
  • política canônica de permissões reescrita;
  • checklist operacional e rollback emergencial documentados.

Resultado técnico observado

  • o hardening deixa de quebrar caminhos compartilhados root + www-data;
  • falhas de criação/permissão deixam de seguir em silêncio;
  • a política fica explícita e operacionalmente defensável.

Validações

  • php -l admin/cron/sync_facebook_events.php
  • php -l admin/cron/sync_facebook_page_events.php
  • git diff --check

Próximos passos registrados

  1. BK-150: fechar o loop de métricas com social_post_metrics_history.
  2. Revisar posteriormente se o ambiente pode migrar de fallback 0666/0777 para ACL/grupo limpo sem perda operacional.