Tem certeza de que www-data
precisa fazer chown
? Por favor, explique o porquê. Não é possível obter /bin/chown
para restringir os UIDs. Você terá que escrever um wrapper em torno de /bin/chown
que faz a validação de entrada, em seguida, chama o% real/bin/chown
e, em seguida, permitir o acesso www-data
somente ao wrapper.