Segurança de arquivos de aplicativos da Web e senhas de bancos de dados em um ambiente de hospedagem compartilhada do Linux

Eu tenho um aplicativo da web em uma máquina de hospedagem compartilhada linux. Digamos que eu tenha um arquivo .htpasswd , algumas configurações que armazenam uma senha de banco de dados e geralmente não querem que as pessoas percorram meu código-fonte procurando por vulnerabilidades.

O servidor web (apache) precisa de acesso de leitura (e gravação em alguns casos) aos arquivos acima. No entanto, não quero que outras pessoas no mesmo host compartilhado tenham acesso.

Eu nunca entendi como isso deveria funcionar. A questão aqui é semelhante, mas parece apontar mais para parar a web app de hospedar um arquivo de senhas acidentalmente.

AFAIK, tudo com que tenho que trabalhar é com permissões básicas do Linux. Em um servidor, espera-se que eu dê permissões de "outros" para o apache. Em seguida, removendo as permissões do grupo, em que todos os outros usuários estão, nega-lhes o acesso. Isso parece muito rotunda. Em outro servidor, há um grupo nobody definido em public_html com apenas as permissões de grupo definidas.

Uma preocupação é que, se o usuário do apache tiver acesso aos meus arquivos, um script simples poderia ser escrito e executado para obter acesso de outro usuário:

<?php
header("Content-Type: text/plain");
include $_GET['f'];
?>

TLDR: Eu preciso que o apache tenha acesso aos arquivos e senhas de origem, mas não a outros usuários na mesma máquina (exceto admins ofc).

O que é uma configuração comum?

Perguntas relacionadas:

• Como permitir o acesso do apache a um arquivo, mas impedir que outras pessoas o vejam?
• link
• link