Cada usuário, exceto o usuário root, tem acesso aos arquivos e diretórios que possui, mas tem acesso limitado à maioria dos outros recursos. Isso é usado para minimizar a capacidade de qualquer usuário comprometer os serviços executados por outros usuários. Ao ter um usuário separado para cada aplicativo, você limita a capacidade de comprometer seu sistema, mas de explorar um aplicativo. Sem essa separação de propriedade, todo o seu sistema é tão seguro quanto seu serviço menos seguro. Se um serviço for executado como root, todo o seu sistema estará aberto a um comprometimento se esse serviço for comprometido.
A melhor prática é ter o conteúdo e a configuração da web de propriedade de um usuário diferente de um usado para executar o servidor da web. Isso limita a capacidade de adicionar malware a um site, comprometendo o servidor da Web. Se necessário, o servidor da Web poderá gravar em uma árvore de diretórios dedicada usada para upload. O servidor web deve ser configurado para não executar o conteúdo do diretório de upload.
É comum que o servidor SMTP relacionado e o servidor POP / IMAP sejam executados como usuários diferentes. O impede que um comprometimento do servidor POP / IMAP seja usado para modificar a configuração do servidor SMTP.