Klar laesst sie sich. Durch entsprechende CGI-Wrapper und/oder eine vernuenftige
Verteilung der Rechte und Gruppenzugehoerigkeiten.

Nein, nicht in jedem Fall. Eine beliebte Kombination aus Unix/Linux, Apache 1.3.x und suExec läßt sich beispielsweise nur begrenzt absichern. Ab einer gewissen Anzahl von Usern setzt das System der Sicherheit Grenzen. Oder suExec. Je nachdem, wie man es betrachtet.

Beispiel:
Jede Kundendomain ist als eigener Virtual Host mit eigener Userid und Gruppenid eingerichtet. Alle Dateien und Skripte in diesem Webspace gehören dem User und sind für 'others' nicht lesbar/beschreibbar/ausführbar. Skripte laufen mit der Userid und Gruppenid des Kunden. Auf statische Dateien greift der Apache mit seiner Userid zu.
Damit er das darf, muss er Mitglied der Gruppe des Kunden sein.
Ein User unter Unix/Linux darf standardmäßig - sofern der Kernel nicht anders kompiliert wurde - maximal in acht/sechzehn/zweiunddreizig (je nach System) Gruppen Mitglied sein.

Darüber hinaus, kann entweder der Apache nicht mehr auf statische Dateien zugreifen oder die Gruppenzugehörigkeiten und/oder Rechte müssen anders verteilt werden und sind dann nicht mehr sicher.
Ein Apache unter root waere dann die DAU-Lösung für dieses Problem.

Gruß,
 Kess