У апача есть mpm-itk, который позволяет запускать воркеры для каждого вхоста от отдельного пользователя. А в nginx все бежит от одного пользователя и этот пользователь должен иметь доступ ко всем виртуал хостам. Т.е. если в nginx будет уязвимость, то атакующий в теории сможет считать файлы всех вхостов.
В интернетах я нашел одно упоминание этой проблемы, но решение там предложено довольно мудреное, хотя и безопасное, - запускать отдельный экземпляр nginx для каждого вхоста и перед ними ставить общий реверс-прокси.
Вот и стало интересно кто как обходит данную проблему, а если не обходят, то почему.