Ты был на правильном пути. Если вы хотите предотвратить такие действия, как создание и удаление файлов (включая удаление каталогов), пользователь не может иметь доступ на запись к родительской папке. В этом случае для сохранения /home/<user>/www/<domain>/public_html и /home/<user>/www/<domain>/cgi_bin пользователь не может иметь доступ на запись к /home/<user>/www/<domain>. Для этого каталоги домена должны принадлежать кому-то другому, а не доступны для записи в мире. Обратите внимание, что это необязательно root, либо: пользователь nobody должен быть в порядке.
/home/bob
`-- [drwxrwxr-x bob ] www
|-- [drwxrwxr-x nobody ] bobsdomain.com
| |-- [drwxrwxr-x bob ] cgi_bin
| `-- [drwxrwxr-x bob ] public_html
`-- [drwxrwxr-x nobody ] bobsotherdomain.com
|-- [drwxrwxr-x bob ] cgi_bin
`-- [drwxrwxr-x bob ] public_html