Ну очевидно же: чтобы любая херня не в группе www-data не могла в него записать. Есть ли в этом смысл? Да не особо (сейчас в меня полетят ссаные тряпки, но все же)
Вот все равно не понимаю нафига это нужно, если поддержка разных версий не требуется и данные все равно через volume прокидываются из основной системы в докер образы.
Вячеслав Юрьевич: Ну будет с 1 ип долбить что такого? Устойчивость на школодос покажет, а от ddos в пару десятков гигабит все равно никак не отобьется.