A execução de programas com uid diferente daquele que possui seus arquivos de dados fornece alguma segurança adicional - os aplicativos não devem poder acessar os dados (ou pelo menos escrevê-los se o usuário alternativo está no mesmo grupo e você está usando umask 0022
). Por outro lado, é pouco provável que proteja você de explorações locais - geralmente, você quer que o usuário alternativo tenha um conjunto de direitos muito semelhante à sua conta principal. Por isso, será capaz de atacar o sistema de forma semelhante, como se fosse executado com o seu uid principal. Se você quiser que ele acesse seus arquivos, você basicamente quer executá-lo na sua conta.
No que diz respeito às aplicações com X11 GUI, você precisa dar a elas acesso ao seu servidor X - que elas podem usar de forma incorreta. Por segurança, você teria que executá-los em um servidor X separado (por exemplo, aninhado).
Usar um usuário alternativo realmente não lhe dará muita segurança (como também é mencionado na pergunta que você mencionou).
Dito isso, embora ser paranóico não signifique que eles não estejam atrás de você, você tem certeza de que seu sistema é o elo mais fraco? Você está mencionando e-mails - você realmente tem controle total das contas de e-mail reais? Eles são mantidos em um servidor altamente seguro, no qual apenas você conhece as senhas, que executam somente um servidor de correio e kernel totalmente corrigidos, e usa apenas protocolos protegidos por SSL / TLS para transferir dados para sua máquina? Você já revisou a implementação real do lado do cliente e do servidor das bibliotecas SSL / TLS? Tem certeza de que seu cliente de e-mail não está espionando você (ou pelo menos que esteja livre de falhas de segurança). Seu sistema operacional e kernel? Seu UEFI? Seu teclado? O UEFI do servidor de correio? (Eu estou intencionalmente omitindo o BIOS, já que isso é tão inseguro quanto possível quando se trata de inicializar.)
Por outro lado, você tem uma razão para acreditar que o Waterloo Maple ou a Wolfram Research estão colocando backdoors em seu software? Se você tem medo de que esses aplicativos sejam explorados remotamente, basta eliminá-los da rede e pronto.