Спасибо большое за Ваши ответы!
Почитал про NSD (ранее не сталкивался с ним ни разу), очень похоже на тот минимум, который мне и нужен + по ресурсам хорошо.
Остановлю выбор на нем.
касаемо запуска:
nginx запускается не под nobody, а под юзеров usrnginx (у юзера есть своя группа). этот же юзер входит в группу www-data, что позволяет nginx отдавать статику, которая была залита на сервер от группы www-data.
