Permissão configurada para o servidor que hospeda vários aplicativos

Eu sou novo no Linux e estou tentando configurar um servidor que hospedará elasticsearch, neo4j e alguns aplicativos de nó. Eu quero as permissões para ser configurado corretamente como agora tudo está sendo executado como root. Eu tenho seguindo a estratégia em minha mente -

1. Para cada aplicativo, crie um usuário separado. Faça todos os arquivos 640 ou 740, conforme necessário.
2. Crie um usuário comum, chame-o de Ubuntu e adicione esse usuário a todos os grupos específicos de aplicativos para que ele possa ler os arquivos, se necessário.

3. Todos os scripts usados para análise de log ou qualquer outra coisa serão executados como root.

4. O Ubuntu pode executar alguns comandos específicos como sudo sem senha.

5. Usuários específicos de aplicativos não podem sudo , no caso de alguém poder executar código de shell, ele não deve ser capaz de executar comandos com sudo .

6. Os usuários podem usar o ssh no servidor bastion apenas como Ubuntu.

Eu também tenho que ter certeza de que todos os aplicativos são executados apenas por usuário específico do aplicativo e não como Ubuntu. Não sei ao certo como fazer isso. Eu não quero executar o comando su para executar cada aplicativo. Há algum problema em escrever scripts de shell como usuário específico do aplicativo para iniciar aplicativos e definir o bit de guia para eles?

Sou muito novo nessas coisas, por isso será ótimo se alguém puder validar e apontar o que estou fazendo de errado.