我想使用AppArmor来监控我的(chrooted)php-fpm池工作人员。 由于每个池都在单独的UID下运行,因此我想为工作人员应用不同的AppArmorconfiguration文件,以便工作进程只能访问其自己池的文档根目录中的文件,而不能访问其他池的根目录中的文件。
问题是所有的php-fpm worker都运行相同的二进制文件( / usr / sbin / php5-fpm ),所以像
/usr/sbin/php5-fpm { (...) } 将适用于所有实例,即所有池中的工人。
对于我的特定问题可能的解决scheme可能是对文档根path使用owner条件规则,但是我想知道是否通常没有办法针对与AppArmor相同的二进制文件的多个实例拥有不同的configuration文件。