У меня сейчас и деплой и nginx + unicorn работают из под одного пользователя, это не рут, но мой основной пользователь системы.
Я думаю что это не очень хорошо. Ладно, допустим я запущу nginx + unicorn от www-data:www-data.
Это значит что я должен поддерживать права в папке как ksevelyar:www-data.
Значит я должен после деплоя выполнять каждый раз chown -R ksevelyar:www-data /path/to/myapp.
Это может отнять некоторое время, особенно если проект большой.
Но я могу использовать для деплоя пользователя www-data. Как раз дополнительная гарантия, что он не сможет задеплоить куда не нужно.
Единственное что терзает меня:
Почему в разных гайдах советуют создать пользователя deploy, когда уже есть готовый www-data? Что такого плохого, что у www-data появится уютный домик (/home/www-data) с ssh ключами?