На сервере крутятся несколько сайтов. Хочу сделать их изолированными друг от друга.
Ситуация примерно такая:
сайт в директории /var/www/site.ru/www/
права доступа такие: /var/www/site.ru/ (root:root) 750. root корневой папки сайта нужен для доступа через SFTP(chroot). там нужно чтоб корневая папка была под рутом, поэтому сам сайт в /var/www/site.ru/www/
в /var/www/site.ru/www/ - (www-site.ru:www-site.ru) 750

php5-fpm пул работает под пользователем www-site.ru
nginx работает под пользователем www-data. так же этот пользователь состоит в группе www-site.ru

С точки безопасности все отлично. доступ к файлам есть только у php5-fpm (www-site.ru - владелец) и у nginx (www-data в группе www-site.ru)

Но не работает!! Почему? Не могу понять. если зайти в bash под www-data или www-site.ru и сделать
cat /var/www/site.ru/www/index.php то выводит без проблем. если через браузер то ошибка 403 «Доступ запрещен»

добавление прав на чтение и исполнение(для папок) для всех (т.е. 755 для папок и 644 для файлов) помогает. Но какая к черту тут безопасность если каждый сможет зайти? Да й почему нужно такое расширение прав???