Permissões para usuários do Apache e do FTPd

Eu gostaria de conselhos sobre permissões em diretórios e arquivos em um servidor web / ftp.

Aqui está minha situação:

Servidor Debian com esse usuário: group

• userme:userme para SSH
• www-data:www-data para apache / php
• ftpuser:ftpgroup para pure-ftpd

Sistema de arquivos:

-[/srv/data_disk]
    -[Websites]
        -[site1.tld]
            -...
        -[site2.tld]
            -...
    -[Webapps]
        -[App1]
            -...
        -[App2]
            -...
        -config1.php
        -config1.php

Explicação:

• Arquivos e diretórios em siteX.tld serão carregados pelo ftpuser.
• Existe um subdiretório "upload" em siteX.tld , onde www-data poderá criar diretórios e gravar arquivos.
• O Ftpuser deve poder excluir os arquivos criados por www-data .
• Os diretórios AppX são criados por userme em ssh
• eles devem ser lidos por www-data (com um diretório especial onde o apache deve ser capaz de criar / excluir arquivos)
• E ser acessível por ftpuser no modo somente leitura (para fins de atualizações remotas)

O que eu pensei em fazer (mas preciso de confirmação de que é uma boa prática) é fazer:

• ftpuser = > membro de ftpgroup AND www-data group
• www-data = > membro de www-data group E ftpgroup AND userme group
• userme = > membro de userme group AND www-data group

E então eu vou chmod da seguinte forma:

-[/srv/data_disk]      => userme:userme 700
    -[Websites]       
        -[site1.tld]    => ftpuser:ftpgroup 750
            -...       
                => ftp uploaded dirs/files = ftpuser:ftpgroup 750 
                => apache uploaded dirs/files = www-data:www-data 770 

    -[Webapps]      => userme:userme 750
        -[App1]      => userme:userme 755
            -...
                => ssh uploaded dirs/files = userme:userme 755 
                => apache created files = www-data:www-data 775 

Parece seguro para você? Ftpusers são chrooted assim como apache ...