> Ну, вот как раз для вебовской VDS разница невелика

это если в нее не понапихано стотыщ дерьмохостингов разом. А оно обычно так и делают.

А вот как раз взрослым системам - совершенно все равно.

> Кстати, в докерах всяких ещё всё обычно от рута крутится.

опять же - предположим даже у тебя все было "правильно", и стратс крутился в докер-контейнере, и не от рута. Кому от этого щастье, если все, к чему он имел доступ, поимел внезапно хацкер васья?
Ну, может на drop database у него прав не хватит, и это - к сожалению, потому что такое как раз сразу заметишь, и восстановишь снапшот. А поменять что-нибудь в базе - и ты об этом никогда не узнаешь и от легальной транзакции никак не отличишь. (а докер еще и уменьшает шансы сделать правильный проактивный ids...впрочем, кто их на деле делает)