Tenho uma dúvida simples, bom no cpanel quando temos uma conta e enviamos o site os arquivos ficam com a permisssao em nome de USUARIO:USUARIO (Usuário o grupo e usuario o dono).

Utilizando o cpanel, quando uma aplicação web envia um arquivo através de um formulário php o arquivo fica USUARIO:USUARIO (Ambos grupo e dono).

 

Como eles fazem isso ?

Porquê quando eu configuro um servidor com debian8 (Por exemplo) e faço o upload de uma imagem via formulário php o nome do arquivo sempre fica com o usuário do APACHE (www-data) e não com o nome da home do usuário.

O seu servidor cPanel está no padrão suEXEC/suPHP ou possui mod_ruid2 ativo? Se sim, esta é a resposta.
O processo é executado pelo próprio usuário ao invés de "nobody" (www-data em seu ambiente Debian)

É mais seguro ?

Funciona com nginx tb ??

Algum módulo para nginx ?

É mais seguro pois temos certeza que os usuários só conseguirão criar e executar arquivos que estão sob o seu owner/group.
O que utiliza junto ao Nginx? PHP-FPM?

É possível ter as vantagens do suPHP com PHP-FPM por meio de pool.
Veja com calma: https://www.howtoforge.com/php-fpm-nginx-security-in-shared-hosting-environments-debian-ubuntu