dass das Root des Dateisytems auch das DOCUMENT-ROOT des Webservers ist (was Voraussetzung für "lokale Dateien irgendwo im lokalen Verzeichnisbaum ueber den Webserver auszuliefern" ist)

Hier kann ich Dir nicht mehr ganz folgen. Das DOCUMENT-ROOT direkt in "/" einzurichten waere in der Tat reichlich irre. Aber warum es eine Voraussetzung fuer einen Verweis auf Dateien im Verzeichnisbaum sein soll, dass das DOCUMENT-ROOT im Rootverzeichnis liegt, ist mir nicht einsichtig.

Du hast doch selbst geschrieben "lokale Dateien irgendwo im lokalen Verzeichnisbaum ueber den Webserver auszuliefern" und das "irgendwo" bedeutet ebenso "an beliebigen Stellen". Außerdem hast Du auch geschrieben: "Ich moechte ja nicht Softlinks zu unzaehligen Dateien in's Document-Root legen."

Wenn Du schon keine Links einrichten willst (was immer noch verpönt ist, nicht grundlos ist FollowSymlinks per Default aus) lässt das den Schluss zu, dass Du auch keine Aliase, bevorzugt auf Ordner, einrichten willst. Denn das ist noch aufwendiger. Wie aber willst Du dann ohne die beschränkende Einrichtung eines Document-Root sicherstellen, dass nicht alles auf dem Rechner ausgeliefert wird? Über die Dateisystem-Rechte? Dann viel Spaß. Der Apache muss so einiges lesen können wenn er funktionieren soll.

Spätestens wenn Du noch (bei Stefan Münz steht sicherlich auch wie das geht) die Ausführung von Perl- oder Python-Skripte (CGI) zulässt wirst Du feststellen, dass da was völlig ungewolltes passiert. Solche Skripte sind auf unixoiden Systemen wie Linux nämlich ziemlich zahlreich. Ergo ist das Document-Root das Document-Root. Und abseits bewusster, weil aufwendiger Maßnahmen (Links, Aliase, Mounts) wird nichts ausgeliefert, was nicht drin ist.

Für das, was Du vor hast installiere, konfiguriere und enable den SSH-Server nebst dem SFTP-Anhängsel (geht normalerweise automatisch). Sogar für Windows hast Du dann eine bunte Auswahl (Im Rahmen der beschränkten Möglichkeiten von Windows:) toller Clients, wie den Secure-Shell-Client Putty und den Filemanager Winscp. Für Linux und Mac brauchst Du (Mac:wohl) nichts, was die Distros nicht mitliefern.

Der Unterschied ist der STETS verschlüsselte Transport, dass STETS eine Anmeldung mittels Benutzername und Passwort (oder ein ID-File) nötig ist und dass mittels SFTP auf dem Server nichts ausgeführt wird.