Das mit den Rechten für die Webroots ist abhängig von verwendeten Apache MPM. Bei prefork, worker und event solte es folgendermassen aussehen:
Das Webroot sollte dem jeweiligen User und dessen Gruppe gehören und die Zugriffsrechte 750 haben. Der User www-data wird in die Gruppen aller Webuser aufgenommen, damit Apache auch die statischen Seiten ausliefern kann. Verwendet man im Webserver noch andere Sprachen, sollten die mit suexec ebenfalls im Kontext des Webusers laufen.
Für das MPM itk vergibt man die gleichen Zugriffsrechte, muss aber den User www-data meines Wissens nicht mehr in die Gruppen aufnehmen. suexec wird ebenfalls nicht benötigt.
Bezüglich /etc/groups und /etc/passwd müssen Leserechte für alle vorhanden sein. Die Passwort-Hashes stehen in der /etc/shadow und dort sind die Rechte normalerweise entsprechend eingeschränkt.