Care este cea mai bună practică pentru lansarea unui server web ca utilizator cu restricții?

Pentru a-mi exersa abilitățile de hardening Linux, încerc să lansez un server web urmând anumite principii de securitate. Scopul meu principal ar fi să rulez serverul folosind un utilizator dedicat cu privilegii foarte limitate. M-am gândit că acesta ar putea fi un caz de utilizare bun pentru crearea unui Server utilizator cu /usr/sbin/nologin coajă.

Dar cum ar trebui să lansez serverul? Când încercați să lansați o comandă simplă folosind su, primesc o eroare, chiar și când folosesc -s pentru a specifica un shell valid:

Bănuiesc că acesta este comportamentul așteptat pentru un utilizator cu nologin shell, dar cum ar putea acel utilizator să lanseze apoi un server? Ar trebui să fie unele sudo reguli de exemplu?

Pentru informații, serverul meu este unul simplu Balon server care se lansează folosind un simplu wrapper SH scenariu.

Am instalat serverele web nginx și apache2 pe SUSE, Ubuntu și Debian. Nu au rulat niciodată ca root sau așa ceva, întotdeauna ca www-data sau wwwrun. Descriu configurarea pas cu pas la https://try-linux.blogspot.com/2020/10/a-new-look-for-linuxintroorg.html dar, după cum s-a spus, va fi mai degrabă greu să o faci greșit. Câteva indicii din linia mea de comandă, lucrătorul rulează ca www-data:

# ps -ef|grep nginx
root 1923 1 0 Nov13 ? 00:00:00 nginx: procesul principal /usr/sbin/nginx -g daemon activat; master_process on;
www-data 1924 1923 0 Nov13 ? 00:09:29 nginx: proces de lucru
www-data 1925 1923 0 Nov13 ? 00:00:02 nginx: proces de lucru
root 22679 22074 0 12:32 pts/0 00:00:00 grep nginx
# cat /etc/passwd|grep www-data
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin