День добрый.
Использую связку nginx & php-fpm. И недавно возникла необходимость
ограничить возможность доступа пользователей к домашним каталогам друг
друга. В ftp есть chroot, но в php скриптах ограничить неполучается. Вариант
с произвольными именами домашних каталогов и невозможностью сделать ls в
/home тоже неотчень нравится (ssh у них есть но шел passwd). safe_mode в php
включать не хочется из-за возможных проблем со скриптами. Вариант запустить
каждому пользователю копию php-fpm с его user:group вероятно наиболее
оптимален ... Что еще можно сделать?
для каждого пользователя запускать свой пул php-fpm. При этом последний
будет работать с правами указанного пользователя.
В конфиге php-fpm указать ограничения open_basedir, disabled functions,
etc...
еще один совет - держать php последней патченной версии. В случае с fpm,
это правда будет чтото в духе current., увы...
PS. chroot изначально не предназначался для усиления безопаности.
