Primeiro, use o apache2-mpm-itk, que altera o usuário pelo VirtualHost. Defina um usuário e seu host virtual e defina as permissões para 700. Ninguém pode ler outros arquivos do usuário. Os arquivos criados no VirtualHost pelo Apache pertencem ao usuário e não pelo www-data.