Bonjour à tous,

Je configure actuellement un serveur Apache avec FPM pour interprêter le code PHP.
Mon objectif est que tous les différents sites aient un user différent, et donc, de cloisonner les différents sites.

Tout fonctionne correctement mais je trouve la sécurité limité avec
- mon /home/bobic dispose des droits en 775 (user et group bobic)
- mon sock est créé en 666

De sorte, n'importe quel user peut voir les autres homes, mais aussi peut utiliser le socket.
Si je modifie les droits en mettant le home en 770 et la création de mon socket en 660 mon vhost ne fonctionne plus, car visiblement, apache accède au home et au socket avec le www-data...

Voici ma config:

vhost:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
 
ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php5-fpm.sock|fcgi://localhost/home/bobic/public_html/"
Et pour mon pool fpm
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
 
 
[bobic]
user = bobic
group = bobic
 
listen = /var/run/php5-fpm.sock
listen.owner = bobic
listen.group = bobic
listen.mode = 0666
Pourtant, la création d'un fichier par php se créé bien avec les droits de bobic, et je vois bien les process fpm avec le compte bobic.

Ma question est donc la suivante: comment faire en sorte qu'apache accède bien à mon home et à mon socket avec le user bobic, me permettant ainsi de sécuriser mes accès ?

Je vous remercie, car je galère depuis quelques jours.