Mahlzeit,

apache einfach in eine gruppe hängen, in der er shell-zugriff hat (das muss nicht root sein) und die nötigen rechte für das was er tun muss hat

Dann kanst du gleich ein Schild aufhängen "Hier ist ein offener Server, bitte hacken".

aus sicherheitsgründen keinen shellzugriff erscheint mir aber etwas fadenscheinig

Nein, das ist logisch

wenn die rechte entsprechend gesetzt sind, kann der apache-benutzer shell-zugriff haben soviel er will, er darf nur das tun wofür er die rechte auch hat

Auch der Apache hat Bugs

leider sieht man viel zu oft diese 777 root/root webserver und leider auch das krasse gegenteil - ein sinnvoller mittelweg ist da viel besser

Am sinnvollsten ist, nur die Rechte zu vergeben die auch gebraucht werden, nicht ein Stück mehr.

Wenn also ein bestimmtes Programm per exec() aufgerufen werden soll, gehört das in ein chroot, dessen Verzeichnis über open_basedir eingeschränkt ist.

Allerdings ist es meist so, dass eine Lösung ohne exec() möglich ist und dann sollte diese bevorzugt werden.