Názor k článku Web server Nginx bez práv roota s pomocí systemd od Filip Jirsák - normalni sluzba otevre pod rootem co potrebuje (porty,logy,pri­vatni...

normalni sluzba otevre pod rootem co potrebuje (porty,logy,pri­vatni klice!!!) a pak prava zahodi.
Ne, to není normální postup – to je workaround vynucený tím, že to dříve nijak nešlo. Normální je samozřejmě aplikaci vůbec nedávat práva, která nepotřebuje. Což umožňují právě capabilities.

pokud to pustite pod jinym uzivatelem, tak uz uzivatele zmenit nemuze (to muze jen root)
To není pravda, opět je to jedna z capability.

zcizit klice
Pokud aplikace načte klíče při startu, může pak příslušný soubor smazat. K tomu nepotřebujete vůbec žádná zvláštní oprávnění.

Sance je vyssi proto, ze jde o cely zbytek te aplikace, vic kodu, vic rizika.
Jenže vy té aplikaci dáváte práva, která vůbec nepotřebuje. K ničemu z toho, co jste napsal, není root potřeba.