Tornar o proprietário root:root é provavelmente o mais "seguro". Isso impede que qualquer pessoa, exceto o root, altere os arquivos.
Fazer o dono apache:apache permite somente o root ou o apache (e membros do grupo apache dependendo das permissões ... mesmo que acima ... se você der ao grupo permissões de gravação .. esse grupo recebe permissões de escrita .. )
Quando vários colaboradores trabalhavam em um de nossos sites maiores, nós o configuramos para que o apache fosse o proprietário e um grupo chamado webdevel fosse o proprietário. Ambos tinham permissões de gravação ...
Olhando para trás, a maneira mais segura de fazer isso (fornecendo sanidade para os desenvolvedores) é provavelmente atribuir root:admins por seu exemplo a qualquer arquivo que apache não precise escrever. Se o apache tiver acesso de gravação aos arquivos, um comprometimento do servidor significará que o usuário pode alterar os arquivos necessários como o usuário apache . Você deve considerar proteger seus arquivos da web a partir do seu servidor da web por esse motivo. Apenas dê ao apache posse de arquivos de configuração que PRECISA para alterar ou pastas nas quais PRECISA de carregar (como um diretório de upload de imagens).
Agora, se você tiver arquivos para os quais o apache não deve gravar, mas deve ser capaz de ler ... mas todos os outros usuários não-raiz e não administradores devem não conseguir ler ( arquivos de configuração com senhas):
1) adote ACLs mais complexas
ou
2) mantenha-se indigno de confiança do seu servidor
ou
3) manter usuários não confiáveis presos.