O uso ou não de diretórios "home" parece mais uma decisão de design do que necessariamente apenas segurança. Mas onde quer que seus arquivos criados pelo usuário da loja:
- Use uma partição dedicada. Você não quer que um usuário seja capaz de interromper o log e outras coisas no nível do sistema que precisam de root. Isso também facilita atualizações e migrações. Se você é paranóico, coloque-os no disco rígido dedicado (s).
- Qoutas. Da mesma forma, você não quer que um usuário ocupe todo o espaço e estrague a diversão de todos. Configure cotas flexíveis e fixas razoáveis para evitar isso.
- Noexec. Monte a partição com noexec e nosetuid para que os usuários não possam carregar e executar nada desagradável (tão facilmente). É provável que você queira fazer isso com / tmp e outros locais em que seu servidor grava arquivos também.
- Backups. Estes são provavelmente os arquivos mais importantes em seu servidor, já que você pode reconstruir o restante. Trate-os como tal.
- Permissões. Verifique se o umask padrão é o que você deseja.
- public_html. A menos que seja o que você deseja oferecer, verifique se o servidor da web não está configurado para exibir páginas da web de usuários.