Какой путь прописать для upload_tmp_dir?

Ввести пару команд для обновления (системы, ядра, пхп), как бы не проблематично, скрипт все делает легко и быстро.
По вопросу понял, закрываю его.

PS. Зачем же пишут эти статьи по безопасности?

затем что есть проекты в которых это очевидно важно, а так же есть ресурсы следить за всем вместе.
По фкту могу вам сказать что намного больше значения имеет какой движок чем какие настройки сайта, взламывают в 99% случаях именно определенную уязвимость в движке или компаненте или модуле или плагине.
Тут опен бейс дир вообще не плшет

Виктор Таран, "затем что есть проекты в которых это очевидно важно, а так же есть ресурсы следить за всем вместе", еще раз повторю, что оно работать не будет не на одном проекте, так как так делать нельзя!
К сожалению не вспомню урлы, где читал этот бред.

В Nginx попробовал изменить путь, для каждого сайта прописал (домен заменен на фейковый):

location ~ \.php$ {
        try_files $uri =444;
        fastcgi_pass backend7;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME  $document_root$fastcgi_script_name;
 
        fastcgi_param PHP_VALUE open_basedir="/var/www/mysite.ru/:/tmp/";
        fastcgi_param PHP_VALUE upload_tmp_dir="/var/www/mysite.ru/tmp/";
        fastcgi_param PHP_VALUE sys_temp_dir="/var/www/mysite.ru/tmp/";
        fastcgi_param PHP_VALUE session.save_path="/var/www/mysite.ru/sessions/";

        include fastcgi_params;
}

Но почему-то настройка применилась только для session.save_path, а для остальных осталась дефолтной. Проверял phpinfo(), сейчас - "no value", т.к. не прописана в php.ini.

Как изменить пул в php-fpm, добавив новых пользователей?
Сейчас /etc/php7/pool/pool.conf имеет вид:

; Имя пула
[php7]

; Пользователь и группа
user = nginx
group = nginx

; Прием FastCGI-запросов
listen = /var/run/php7-fpm.sock

; Пользователь и группа от чьего имени запущен сервер
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

В php-fpm.conf прописана строка:
include=/etc/php7/pool/*.conf

Будет ли достаточно создать новый файл /etc/php7/pool/vasya.conf
и прописать:

[vasya]
user = vasya
listen = /var/run/php7-fpm.vasya.sock

А потом для того, чтобы работать от этого юзера, достаточно прописать строку в конфиг домена, типа:
fastcgi_pass unix:/var/run/php7-fpm.vasya.sock;

так?

В конфиге nginx нельзя устанавливать опции PHP с уровнем PHP_INI_SYSTEM, который как раз и имеют open_basedir (с оговорками), upload_tmp_dir и sys_temp_dir. Опция session.save_path имеет уровень PHP_INI_ALL, поэтому её можно установить откуда угодно. Хоть из php скриптов.

PHP_INI_SYSTEM можно установить только в php.ini или конфигурации пула:

php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/

Конфигурации пулов могут быть в отдельных файлах в папке /etc/php7/pool или в одном - это дело вкуса. Проще разделять по разным.

Что до разделения по юзерам, то нужно создавать отдельные пользовательские группы для каждого сайта:

; Имя пула
[mysite]

; Пользователь и группа
user = www-data
group = mysite

; Прием FastCGI-запросов
listen = /var/run/mysite.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

; добавляем конфиг php
php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/

; Имя пула
[vasya]

; Пользователь и группа
user = www-data
group = vasya

; Прием FastCGI-запросов
listen = /var/run/vasya.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

; добавляем конфиг php
php_value[open_basedir] = /var/www/vasya/:/tmp/
php_value[upload_tmp_dir] = /var/www/vasya/tmp/
php_value[sys_temp_dir] = /var/www/vasya/tmp/
php_value[session.save_path] = /var/www/vasya/sessions/

Соответственно, права и владелец папки /var/www/mysite.ru должны быть tolly:mysite и 750, а у /var/www/vasya - tolly:vasya и 750.

Не сильно важно от какого пользователя будут запускаться разные php-fpm пулы, главное чтобы не от nginx или tolly. Разграничение доступа при такой схеме строится только на группах.

Пользователь nginx должен состоять одновременно в группах mysite и vasya, чтобы иметь доступ к файлам всех сайтов, тогда как php-fpm пул будет иметь доступ только к своей папке, но не к папке соседа.

А в пуле можно прописывать несколько хостов? Типа:

[HOST=example.com]
open_basedir /var/www/example.com/:/tmp/
upload_tmp_dir /var/www/example.com/temp/
sys_temp_dir /var/www/example.com/temp/
session.save_path /var/www/example.com/sessions/

[HOST=mysite.com]
open_basedir /var/www/mysite.com/:/tmp/
upload_tmp_dir /var/www/mysite.com/temp/
sys_temp_dir /var/www/mysite.com/temp/
session.save_path /var/www/mysite.com/sessions/

или это делается, просто путем перечисления все возможных путей, типа:
php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/ ?

Немного запутался в пользователях и группах, к примеру

; Имя пула
[mysite]

; Пользователь и группа
user = www-data
group = mysite

; Прием FastCGI-запросов
listen = /var/run/mysite.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

Вот что я понял:
1) [mysite] - это имя пула mysite по аналогии с доменом
2) user = www-data - это некто, не важно кто, но не nginx
3) group = mysite - группа созданная для домена
4) listen = /var/run/mysite.sock - имя сокета от имени домена
5) listen.owner = nginx и listen.group = nginx - запуск самого php-fpm
верно?

Имея 2 домена: example и mysite, задаем права:
chmod nginx:mysite -R 750 /var/www/mysite/
chmod nginx:example -R 750 /var/www/example/

тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке

Все правильно понял?

Если разграничивать доступ группами, то без вариантов необходимо использовать отдельный пул для каждого сайта. Если же не хочется плодить пулы, то конфигурацию каждого хоста нужно вписывать в php.ini при помощи секций.

или это делается, просто путем перечисления все возможных путей, типа:
php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/ ?

Такая настройка сводит на нет всю идею open_basedir, так как скрипты сайта example.com будут иметь доступ к папке mysite.com.

Имея 2 домена: example и mysite, задаем права:
chmod nginx:mysite -R 750 /var/www/mysite/
chmod nginx:example -R 750 /var/www/example/
тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке

Написали "... или другой, но не nginx, ...", но при этом "chmod nginx:mysite". Как же так?

1. Про параметр:

php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/

я имел ввиду, что если нужно одному пользователю дать права на пару сайтов, то это можно сделать их перечислением, и понятно что пользователь получит доступ в обе папки. Ну окей, я понял, что рекомендуется это делать через php.ini

2. По фразе "тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке",
я имел ввиду, что запуск php-fpm идет от пользователя www-data, так как он не имеет никаких прав. Вместо него можно создать и прописать любого пользователя, кроме nginx. Например можно прописать пользователя tolly или vasya, но не nginx.

php-fpm же получает доступ только для чтения, так как входить в группу

к примеру для папки /var/www/mysite/ - владелец - пользователь nginx (полный доступ) и группа mysite (только чтение), а остальным все запрещено

Я верно думаю?

PS. Ну и думаю, что можно прописать 770 для например временных файлов, сессий, uploads и так далее?

к примеру для папки /var/www/mysite/ - владелец - пользователь nginx (полный доступ) и группа mysite (только чтение), а остальным все запрещено

Ну нет же, не nginx. Зачем nginx'у полный доступ? При обнаружении уязвимости в nginx, такие права позволят взломать сайт. Сделайте себя владельцем всех папок и файлов сайта. Тогда вы сможете обновлять сайт без лишних проблем, а nginx и php нет, так как получают права группы, у которой права на запись есть только в специальные папки (сессии, tmp и т.п). Nginx получает доступ на чтение, так как состоит одновременно в группах mysite и example.

Разграничение доступа группами работает только при использовании нескольких php-fpm пулов. Насколько я понял, вы не собираетесь делать отдельный пул для каждого сайта, поэтому заморочки с пользователями и группами не нужны.

Вашу логику понял, для одного пользователя:
chmod root:nginx -R 750 /var/www/
find /var/www/ -type d -name tmp -o -name uploads -o -name sessions -exec chmod root:nginx -R 770 {} \;