Hallo Christian!

am sichersten wäre es eh, wenn man für jeden Benutzer eine eigene
Apache-Instanz in einem BSD-Jail oder einen Linux-chroot aufsetzt, die nur
intern auf Port <irgendwas> lauschen.

abgesehen von http://www.google.com/search?q=How+to+break+out+of+a+chroot+jail - ja (also FreeBSD Jail oder Linux mit grsec), aber das wollte ich dann nicht warten müssen ;-)

Die Requests leitet man dann z. B. per
Squid an den richtigen internen Port weiter. So kann quasi nichts
passieren, selbst wenn ein Kunde gehackt wird ;-)

Aber da die großen Provider IMHO gut damit fahren ein einfaches System streng zu konfigurieren, würde ich eher diesen Weg gehen wollen.

Wenn ein Kunde die Möglichkeit hat Passwort-Datein für andere nicht sichtbar zu speichern, ist er selbst Schuld wenn er das nicht macht. Von der Konfiguration sollte das System nur so ausgelegt sein, dass wenn ein Angreifer irgendeinen Account knackt, also entsprechende User-Rechte hat, dass er an dieser Stelle nicht weiter kommen darf, also auch keine anderen Accounts (mit ordentlichen Rechten) verändern/lesen können darf. Dasselbe gilt natürlich noch viel mehr für Daten bzgl. Administration, da lassen manche ja auch schonmal das root-passwort für MySQL mehr oder weniger öffentlich rumliegen, z.B. in confixx oder in irgendeinem "unwichtigen" Backup...

Grüße
Andreas