Как корректно разделить сайты по пользователям и php-fpm пулам?

Question

[Дмитрий]

Доброго дня!
Есть веб сервер: Debian, Ningx, php-fpm, на нем несколько сайтов (wordPress), для простоты примера, пусть будет два сайта: site1 и site2. Пытаюсь изолировать сайты друг от друга, но что-то идет не так.
Nginx работает от имени www-data.

site1 - владелец www-site1:www-data, права на каталоги 750, права на файлы 640.
site2 - владелец www-site2:www-data, права на каталоги 750, права на файлы 640.

Сайты работают каждый под своим пулом php-fpm, конфиги пулов следующие:

[www-site1(2)]
user = www-site1(2)
group = www-site1(2)
listen = /run/php/php7.3-fpm-site1(2).sock
listen.owner = www-data
listen.group = www-data
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
env[PATH] = /usr/local/bin:/usr/bin:/bin

При таком положении дел сайты работают, но если обновить через админку, например, тему - то на вновь созданные/измененные файлы и каталоги владельцем устанавливается www-site1(2):www-site1(2). Разумеется и доступа к этим файлам у nginx нет.

Как правильно выставить права, чтобы доступ к сайту имел только один пользователь и nginx?
Добавить www-data в группы пользователей? Насколько это безопасно?
Изменить конфиг php-fpm, чтобы владельцем создаваемых файлов и каталогов был www-site1(2):www-data? Что именно изменить?

Answer 1

[Adamos]

Как правильно выставить права, чтобы доступ к сайту имел только один пользователь и nginx?

Добавить nginx в группы www-site1 и www-site2.
Запуск сайтов от имени группы www-data приведет к тому, что пользователи увидят сайты друг друга.

Comments

[Дмитрий]

Можно чуть развернутее.
У меня и так nginx работает (по дефлоту) от имени www-data.
php-fpm пулы созданы отдельные для каждого сайта - php-fpm-site1(2).sock

Добавить www-data в группы пользователей?
Тогда юзеры будут иметь доступ только к своим сайтам, а nginx (www-data) ко всем сайтам. Так?

[Adamos]

Дмитрий, ну да. Либо завести под nginx специального пользователя, который будет состоять в нужных группах - если от www-data запускается что-то еще.

[Дмитрий]

Adamos, от www-data больше ничего не работает, только nginx.
Правильно ли я понимаю, что осталось только добавить www-data в группу к каждому пользователю, от имени которого работает тот или иной сайт?
Каждому пользователю будет доступен только свой сайт (750, 640), пхп-фпм у каждого свой, а nginx (www-data) будет иметь права r-x на каталоги и r-- на файлы. Так?
Насколько безопасна такая конфигурация?

[Adamos]

Дмитрий, ну, при большом желании в настройке nginx, наверное, можно накосячить так, чтобы один сайт полез в папку к другому... но пользователи, надо полагать, к этим настройкам доступа не имеют.

[Дмитрий]

Adamos, у меня пользователи бесправные, без sudo. Вряд ли накосячить в конфигах nginx им удастся)

Правильно ли я понимаю, что осталось только добавить www-data в группу к каждому пользователю, от имени которого работает тот или иной сайт?
Каждому пользователю будет доступен только свой сайт (750, 640), пхп-фпм у каждого свой, а nginx (www-data) будет иметь права r-x на каталоги и r-- на файлы. Так?

???

[Adamos]

Дмитрий, так.

Answer 2

[krash1408]

chmod на директории 0755, на файлы 0644.
chown -R site1:site1 /web/site1
В результате юзер nginx читает файлы, а php-fpm пишет файлы и директории.

Comments

[Adamos]

И все файлы пользователей видны любому пользователю в системе. Красота, чо.

[Дмитрий]

Смысл разделять сайты по пользователям и выставлять права на чтение и ЗАПИСЬ всем?

[krash1408]

Дмитрий, писать сможет только пользователь php-fpm пула. Уважаемый Adamos прав, решение, написаное мной неверно.

[Дмитрий]

krash1408, Да, насчет записи я погорячился. Извините.
Но весь смысл в том, чтобы разделить сайты по пользователям, изолировав их друг от друга, поэтому 755, 644 не рассматривается.
Весь косяк в том, что в текущей конфигурации пхп меняет группу-владельца и nginx теряет доступ к сайту

[krash1408]

Дмитрий, подскажите, в вашей конфигурации пула php-fpm прописана директива listen.mode?

[Дмитрий]

krash1408, Нет. Вчера читал мануалы, встречал ее в примерах конфигов, но не понял ее назначения. Если поясните ее назначение, буду безмерно благодарен.

Мой конфиг в теле вопроса представлен, эту директиву не добавлял.