Você deve reconfigurar seus diretórios pessoais para não serem legíveis por todos:
dpkg-reconfigure adduser
E verifique as permissões para diretórios iniciais existentes.
Eu não me preocuparia muito com o acesso à pasta do sistema, as permissões padrão do Linux já são destinadas a um ambiente multiusuário.
Posteriormente, coloque o usuário em seu próprio grupo e crie seu diretório de servidor web, certifique-se de que www-data possa ler lá. Olhe para fora para outras pastas graváveis do mundo.
Se o seu usuário tiver permissão para fazer upload de scripts cgi / php, você provavelmente desejará examinar o suexec para o apache, já que esses scripts estarão sendo executados como usuário www-data. É trivial para fazer o upload de um shell php e navegar por raízes de documentos de outros usuários. Seus diretórios pessoais serão salvos se você remover a permissão de leitura do mundo.
Atualização:
Eu esqueci completamente de mencionar o rbash. Apenas substitua o shell de login do usuário pelo rbash e ele não poderá mais alterar os diretórios:
chsh -s /bin/rbash user