Загадка прав доступа к файлам

Во-первых, некоторая справочная информация о сервере

Запуск последних версий ubuntu и nginx. Nginx настроен для виртуальных хостов. Пользователям (более 100 из них) разрешено обслуживать веб-сайт, если я разместил свой HTML-файл по адресу $ HOME / site.domain.com / public /. Если их сайт чувствителен к безопасности, они могут разместить пару ключей rsa в $ HOME / site. domain.com.pem $ HOME / site.domain.com.key, и это получает nginx, а html обслуживается в режиме https без ошибок сертификата.

Проблема: какие (chmod) разрешения должны иметь $ HOME / site.domain.com.key?

Вот ограничения

- Other linux (non-root) users should not be able to "steal" .key files.
- Nginx runs as user www-data and group www-data I believe. So nginx needs to be able to have read access to any users .pem file when nginx is rebooted with `service nginx restart`
- Root users (root and ubuntu) should have access to any file using sudo
- To make user management easy, the users we added (not the ones that comes with ubuntu install) all have their primary group set as "ourcompanygroup". I'm flexible on this.

Ссылки: http://nginx.org/en/docs/http/configuring_https_servers.html