Tach!
Du bekommst die Dateiberechtigungen nicht so eingestellt, dass die anderen User nicht zumindest lesen können, denn dazu müsste der User Josh auch einen eigenen Apache-Server (oder anderen Webserver) laufen haben. Sonst kommt der gemeinsame Apache nämlich nicht mehr an die Files.
Ja. Und? War es eine Anforderung, dass gar nichts lesbar sein soll? Der Apache muss nur die Dateien lesen können, die er direkt ausliefert, sowie seine Konfigurationsdateien (inklusive .htaccess und co.). Die PHP-Dateien und -Verzeichnisse können dem suEXEC-User gehören, ohne Zugriff für andere User. Das reicht üblicherweise. Die direkt ausgelieferten Apache-Dateien sind in der Regel sowieso frei zugänglich. Lediglich wenn ein HTTP-Auth-Schutz vorhanden ist, kann dieser hintenrum umgangen werden, inklusive der dafür notwendigen Konfigurationsdateien.
Du kannst dich drehen und wenden wie Du willst. Josh bekommt seinen Account nicht alleine sicher!
Hat er denn die Anforderung, völlig abgeschottet zu sein? Ein Wechsel zu einem dedizierten Server ist in meinen Augen nur notwendig, wenn solch hohe Sicherheitsanforderungen bestehen.
dedlfix.