關於LNMP的許可權問題

我平時做nginx環境的時候一般都是用以下方法，
nginx www使用者 www組，
php-fpm www使用者www組，
網站，A使用者www組，這時候設定的許可權是775即可，實際上755 是用不了的，因為php-fpm 和 nginx 無執行許可權而報403，好，這時候php-fpm可以建立一個pool用A使用者和WWW組來跑，這時候php-fpm就沒有403的問題了，那麼nginx還是會報403，因為讀取不了目錄，沒許可權。還是得要775許可權。

問題如下：
1、這種配置實際存在以前虛擬機器主機時代的跨站問題，即A站使用者可以讀B，因為775許可權，他們甚至可讀寫。是這樣嗎？
2、如果nginx用root跑，似乎可解決這個問題，即NGINX root,pph-fpm和網站使用者對應起來，那麼聽說nginx不能用root跑，具體你們是如何搞得呢？請指教

回複內容：

我平時做nginx環境的時候一般都是用以下方法，
nginx www使用者 www組，
php-fpm www使用者www組，
網站，A使用者www組，這時候設定的許可權是775即可，實際上755 是用不了的，因為php-fpm 和 nginx 無執行許可權而報403，好，這時候php-fpm可以建立一個pool用A使用者和WWW組來跑，這時候php-fpm就沒有403的問題了，那麼nginx還是會報403，因為讀取不了目錄，沒許可權。還是得要775許可權。

問題如下：
1、這種配置實際存在以前虛擬機器主機時代的跨站問題，即A站使用者可以讀B，因為775許可權，他們甚至可讀寫。是這樣嗎？
2、如果nginx用root跑，似乎可解決這個問題，即NGINX root,pph-fpm和網站使用者對應起來，那麼聽說nginx不能用root跑，具體你們是如何搞得呢？請指教

PHP可以用open_basedir輔助隔離各個使用者之間的目錄。只能讀自己的，不能讀別人的。

nginx :
user www www;

php-fpm :
user = www
group = www

目錄：
drwxr-xr-x 就是755

