sshで入ってみたら、他ユーザー見えるんだな。属性は705。
htpasswdはともかく、CGIとかで生パスワードをファイルに書き込んでたらやばいんでないかい？

• suexecではあるようなので、情報がCGIと別ファイルならそれを600にしておけばよい
• 所詮実行時のユーザー切り替えなので、htmlやCGIまでのディレクトリは705、BASIC認証のpasswordファイルは604でなくては無理

関係ありそう

• http://solaris.bluecoara.net/servers/apache/namesetuid.phtml

やっぱりホスティングサービスは、apache-2.2でMPM perchildでやるべきだろうな。もしくはMutex MPMで。いまは通信処理の安定よりもプライバシーのほうが重要でしょうし。

• http://nibiru.borg.metux.de:7000/wiki.mpm/