Каков наилучший способ запуска веб-сервера в качестве ограниченного пользователя?

Чтобы практиковать свои навыки защиты Linux, я пытаюсь запустить веб-сервер, следуя определенным принципам безопасности. Моей основной целью было бы запустить сервер, используя выделенного пользователя с очень ограниченными привилегиями. Я подумал, что это может быть хорошим вариантом использования для создания сервер пользователь с /usr/sbin/nologin ракушка.

Но как мне тогда запустить сервер? При попытке запустить простую команду с помощью Су, я получаю сообщение об ошибке даже при использовании -с чтобы указать допустимую оболочку:

Я предполагаю, что это ожидаемое поведение для пользователя с нелогин shell, но как этот пользователь мог запустить сервер? Должны ли быть некоторые судо правила например?

Для информации, мой сервер простой Колба сервер, который запускается с помощью простой оболочки ш сценарий.

Я установил веб-серверы nginx и apache2 на SUSE, Ubuntu и Debian. Они никогда не работали от имени пользователя root или около того, всегда как www-data или wwwrun. Я описываю настройку шаг за шагом на https://try-linux.blogspot.com/2020/10/a-new-look-for-linuxintroorg.html но, как сказано, будет довольно трудно сделать это неправильно. Некоторые подсказки из моей командной строки, рабочий процесс работает как www-data:

# ps -ef|grep nginx
корень 1923 1 0 ноябрь 13 ? 00:00:00 nginx: главный процесс /usr/sbin/nginx -g демон включен; master_process включен;
www-данные 1924 1923 0 Nov13 ? 00:09:29 nginx: рабочий процесс
www-данные 1925 1923 0 Nov13 ? 00:00:02 nginx: рабочий процесс
root 22679 22074 0 12:32 pts/0 00:00:00 grep nginx
# cat /etc/passwd|grep www-данные
www-данные:x:33:33:www-данные:/var/www:/usr/sbin/nologin