Oh, bem, feliz por ter escrito tudo porque acho que inspirou uma resposta. O pool padrão usava TCP e eu queria que meu novo usasse soquetes de domínio UNIX. Então, eu tive um pequeno problema de sintaxe. Eu acidentalmente incluí uma porcaria extra na linha de configuração do proxy no Apache.
ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php5-fpm-rcuser.sock|fcgi://localhost:9000/usr/vhosts/webmail/htdocs/$1"
deveria ter sido
ProxyPassMatch "^/(.*\.php(/.*)?)$" "unix:/var/run/php5-fpm-rcuser.sock|fcgi://localhost/usr/vhosts/webmail/htdocs/"
Ele estava se conectando ao primeiro pool, embora o segundo pool estivesse funcionando corretamente. Essa :9000
designação de porta e $1
parte no final da linha tinha que ir para.
Então, corrijo o Apache e corri:
find webmail/ -exec setfacl -b {} \;
para limpar as permissões da ACL e, em seguida, executou find webmail/ -type d -exec setfacl -m user:daemon:rwx {} \;; find webmail/ -type f -exec setfacl -m user:daemon:rw {} \;
para defini-las da forma que eu queria.
A configuração parece ser legal, então espere que ajude alguém lutando com as permissões do vache do Apache algum dia.
Meu objetivo de longo prazo é não precisar mais executar um servidor FTPS ou usar php_admin_value open_basedir