Как я могу сделать каталог полностью приватным для определенной группы пользователей?

Я использую ubuntu 16.04, с установленными apache и nginx

Мне нужна установка, в которой определенные каталоги (dir y) недоступны (нет прав на чтение, запись или выполнение) определенной группе пользователей (группа x)

Однако, группа x должна иметь возможность редактировать файлы конфигурации nginx и apache

В настоящее время apache и nginx запускаются от привилегированного пользователя, я подозреваю, что члены группы x могут иметь возможность редактировать файлы конфигурации для чтения содержимого dir y, правильно ли я думаю?

Если службы apache2 и nginx запускаются непривилегированным пользователем - членом группы x - это гарантирует, что член группы x не сможет прочитать содержимое каталога dir y?

Есть ли какие-то другие лазейки, от которых мне следует утомиться, чтобы гарантировать, что каталог y остается приватным?

Изменить: после некоторого тестирования пользователи группы x могут редактировать nginx.conf, установив для пользователя nginx значение ' root ', который позволяет отображать каталог

Я вижу два решения, убедившись, что хост-процесс nginx запущен как некорневой , что создало бы проблемы при привязке к портам 80 и 443

Или просто убедитесь, что группа x не может напрямую редактировать файл nginx.conf, возможно, я мог бы создать программу, которая может редактировать все, кроме свойства 'user'