Názor k článku Web server Nginx bez práv roota s pomocí systemd od Milan Keršláger - Zapomněl jste citovat zbytek. Ten hlavní proces nic...

Zapomněl jste citovat zbytek. Ten hlavní proces nic nedělá, jen spawnuje workery pod jiným UID. Třeba v Apache je defaultní konfigurák, kde je non-root uživatel (apache, www-data nebo tak něco). Majoritní distribuce dělají žádné nebo jen minimální zásahy do upstream konfiguráků (je to best-practise), takže pokud není tvůrce distribuce úplný mimoň, tak se prostě stát nemůže, že by web běžel pod rootem (ale donutit ho nejspíš můžete).

Kromě toho jsou oprávnění dále osekána (SELinux, AppArmor).