Как запретить пользователям читать файлы друг у друга

в том то и дело, что это ничего не даст.

лучше уж чтобы юзер apache входил в группы всех пользователей и тогда можно поставить на все home права - 750

apache может читать у всех, а юзер только у себя

Простите, а я о чем писал?

PS. К тому же это не решит вашу проблему с динамическими приложениями выполняемыми в сервер space.

допустим в системе два юзера и вебсервер:

login: user1 group: user1

login: user2 group: user2

login: www group: www

вы предлогаете заменить группы юзеров или просто добавить в них группу www

тоесть первыю юзер будет иметь логин user1 и группу www

login: user1 group: www

я предлогаю добавить юзеру apache группы всех пользователей

тоесть юзер apache будет входить в группы apache,user1,user2

login: www group: www,user1,user2

собственно про это я и писал... но с той лишь разницей, что приложения должны исполняться из под uid/gid клиента.

вы предлогали

> внести апач в login group каждого пользователя

в моём варианте login group не изменяется

простите, а в вашем варианте куда апач вносим?

# /etc/passwd

www:x:100:200::/www:/bin/bash

user1:x:101:201::/home/user1:/bin/bash

user2:x:102:202::/home/user2:/bin/bash

# /etc/group

www:x:200:

user1:x:201:www

user2:x:202:www

# /etc/passwd

www:x:100:200::/www:/bin/bash

user1:x:101:201::/home/user1:/bin/bash

user2:x:102:202::/home/user2:/bin/bash

# /etc/group

www:x:200:

user1:x:201:www

user2:x:202:www

и если это русским языком?

apache (юзер www) станет членом всех групп пользователей, а не все пользователи станут членами группы apache.

по русски неумею

Внести apache в login group и сделать apache в качестве login group пользователя это совершенно разные вещи...