Делается это примено так
1. кладем патчик на suiddir
2. врубаем под фрей suiddir
3. апача пускается под nobody:apache
4. папки юзеровые 4770
5. файлы юзеровые 4660
6. овнер папок и файлов user:apache
7. user сидит в группе скажем hosting
в резалте получаем апача видит все чего ей надо, так как файлы доступны для этой группы, юзер видит только свои фалы так как не входит в группу апачи, разумеется suexec должен быть включен и на него тоже патчик нужен.
если покапаете сырцы php, то поймете как врубить работу mod_php под юзером
ну это так в краце