Существует несколько различных вариантов, доступных Вам. Вот те, я могу думать; у каждого есть его собственные достоинства и недостатки.
Можно установить мир, выполняются, обдумал родительские каталоги. Тем путем любой, кто знает полный путь в файл, сможет получить доступ к нему, но никто больше не может. Это все еще оставляет известные доступные для всех файлы, хотя, если Вы не защищаете их с более строгими полномочиями (вещи как ~/.bashrc, ~/.gnupg, ~/.Xauthority и так далее могут представлять интерес для взломщика так, нуждался бы в их сжатых полномочиях).
Вы можете усиливать ACLs, чтобы сделать то же самое с большим количеством гранулярности, например, только разрешением www-пользователя-данных или доступа на выполнение группы к каталогам, чтения/доступа на выполнение к любому каталогу, веб-сервер должен предоставить довольному список для и доступ для чтения к файлам, которым это должно служить.
Вы могли добавить www-пользователя-данных к dotancohen группе и затем отменить полномочия группы на всем кроме того, к чему Вы хотите, чтобы Apache смог получить доступ. Это - вероятно, самый легкий подход, который открывается как можно меньше, но это становится более хитрым, если Вы уже используете полномочия группы для некоторой другой цели.
Или, как Вы говорите, Вы могли переместить публично подаваемые файлы из своего корневого каталога полностью. Это - определенно самая легкая установка для разбираний с точки зрения полномочий, и это - конечно, выбор, который я сделал бы, если нет некоторый неопровержимый довод не к. В зависимости от Вашей установки и определенных потребностей, это может даже быть практично для использования 0750 или 0770 полномочий на таком общедоступном корне с соответствующим владением, которое ограничило бы доступ к только себе и веб-серверу. Владелец самостоятельно, www-данные группы и полномочия 0710 всюду по такому дереву каталогов, вероятно, были бы почти так трудны, как Вы можете пойти, но подразумеваете, что веб-сервер должен знать полное имя каждого файла, к которому это получит доступ в соответствии с тем каталогом.
Как в стороне, можно хотеть рассмотреть миграцию на совместимый FHS/srv, а не / var.