Es que eso es exactamente lo que hacían los comandos que ejecutaste. El primero da permiso de lectura, escritura y ejecución al dueño y al grupo, dando solo lectura a otros.
El segundo cambia la propiedad de la carpeta a usuario=root y grupo=www-data (0:33)

En particular creo que darle permisos 774 no tiene gran fundamento. ¿por qué es necesario que root sea el dueño, justamente cuando intentamos evitar escalación de privilegios? mientras menos archivos haya con permisos de root es mejor. ¿por qué permisos de lectura para el resto? mejor dejarle en 0, si estamos asumiendo que nadie debe entrar.

De nuevo: root puede hacer lo que le plazca en la carpeta, por lo que está bien que sea propiedad del usuario de apache.