Si fa con l'httpd.conf.

Ti consiglio di fare (andando a vedere poi la documentazione) cosi:

Imposta i permessi della cartella di root e di default a:

Order Deny,Allow
Deny from All
Allow from 127.0.0.1

Poi SOLO nella cartella pubblica che intendi mostrare fuori metti una direttiva nel .htaccess con:

Order Allow,Deny
Allow from All

Ti dovrebbe essere sufficiente questo e un'occhiatina ai commenti che ci sono nell'httpd.conf, ma se vuoi saperne di piu' leggi il manuale di Apache a riguardo