Vamos ligar para o seu novo usuário testapp:
Você precisa remover o acesso de leitura de "outros" de todos os arquivos e pastas. chmod -R o-r /
then chown -R :testapp /var/www/html/testapp
e finalmente chmod -R g+rwx /var/www/html/testapp
Remova seu novo usuário do grupo de dados www, mas lembre-se de que quando www-data não puder ler arquivos, ele não será legível em seu site