Gostaria de prender meus funcionários do pool do php-fpm usando AppArmor . Como cada pool é executado em um UID separado, eu gostaria de aplicar diferentes perfis do AppArmor para os trabalhadores, de modo que um processo de trabalho possa acessar apenas os arquivos na raiz do documento de seu próprio pool, não nas raízes dos outros pools.
O problema é que todos os funcionários do php-fpm executam o mesmo binário ( / usr / sbin / php5-fpm ), então um perfil como
/usr/sbin/php5-fpm {
(...)
}
seria aplicado a todas as instâncias, ou seja, todos os trabalhadores do pool.
Uma possível solução para meu problema específico poderia ser o uso das regras condicionais owner para os caminhos da raiz do documento, mas estou me perguntando se geralmente não há perfis diferentes para várias instâncias do mesmo binário com < em> AppArmor .
Tags apparmor