我想使用以下方法监禁我的(chrooted)php-fpm 池工作进程应用装甲。由于每个池都在单独的 UID 下运行,因此我想为工作进程应用不同的 AppArmor 配置文件,以便工作进程只能访问其自己池的文档根目录中的文件,而不能访问其他池的根目录中的文件。
问题是所有的 php-fpm 工作进程都运行相同的二进制文件(在/usr/sbin/php5-fpm),因此
/usr/sbin/php5-fpm {
(...)
}
将应用于所有实例,即所有池工作者。
对于我的具体问题,一个可能的解决方案可能是使用owner文档根路径的条件规则,但我想知道是否通常没有办法为同一个二进制文件的多个实例设置不同的配置文件应用装甲。