Один из способов установки пользователя / разрешений для чего-то похожего на то, что вы описали, заключается в создании нового пользователя специально для вашего приложения и изменении владельца / группы каталога развертывания вашего приложения и его содержимого на yourappuser:apache.
Идея состоит в том, чтобы запретить любые операции всем, кроме yourappuser, который должен уметь делать все, и Apache, который должен уметь читать его содержимое.
Чтобы сделать это, вы можете затем изменить разрешения для этой папки, чтобы ее владелец мог читать / писать / выполнять, а своей группе - читать ее содержимое, при этом запретив все от любого другого пользователя (например, 740).
Есть много других подходов, но я склонен использовать этот.