или это делается, просто путем перечисления все возможных путей, типа:
php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/ ?
Имея 2 домена: example и mysite, задаем права:
chmod nginx:mysite -R 750 /var/www/mysite/
chmod nginx:example -R 750 /var/www/example/
тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке
php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/
; Имя пула
[mysite]
; Пользователь и группа
user = www-data
group = mysite
; Прием FastCGI-запросов
listen = /var/run/mysite.sock
; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx
; Права на чтение и запись
listen.mode = 0660
; добавляем конфиг php
php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/
; Имя пула
[vasya]
; Пользователь и группа
user = www-data
group = vasya
; Прием FastCGI-запросов
listen = /var/run/vasya.sock
; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx
; Права на чтение и запись
listen.mode = 0660
; добавляем конфиг php
php_value[open_basedir] = /var/www/vasya/:/tmp/
php_value[upload_tmp_dir] = /var/www/vasya/tmp/
php_value[sys_temp_dir] = /var/www/vasya/tmp/
php_value[session.save_path] = /var/www/vasya/sessions/
Ну нет же, не nginx. Зачем nginx'у полный доступ? При обнаружении уязвимости в nginx, такие права позволят взломать сайт. Сделайте себя владельцем всех папок и файлов сайта. Тогда вы сможете обновлять сайт без лишних проблем, а nginx и php нет, так как получают права группы, у которой права на запись есть только в специальные папки (сессии, tmp и т.п). Nginx получает доступ на чтение, так как состоит одновременно в группах mysite и example.
Разграничение доступа группами работает только при использовании нескольких php-fpm пулов. Насколько я понял, вы не собираетесь делать отдельный пул для каждого сайта, поэтому заморочки с пользователями и группами не нужны.