Sou novo usuário do nginx + php-pfm, mas estou um pouco confuso sobre segurança.
Por exemplo, estou executando alguns pools com uid / gid diferentes como soquetes TCP. Então, teoricamente, é possível que qualquer usuário do shell local possa se conectar a 127.0.0.1 9000 OR 9001 ou qualquer outra porta FPM e enviar código php para executar com diferentes uids? Como evitar isso? (sockets de arquivos não é uma opção)
Você não pode enviar o código a ser executado, apenas o caminho para o arquivo a ser executado. E tem que ser legível pelo usuário em que o seu pool FPM é executado. Então, esse usuário ruim teria que ser capaz de criar um arquivo com permissões para ser lido pelo FPM.