worker_rlimit_nofile устанавливает процессу воркера лимит через setrlimit(). В том случае, если мастер-процесс обладает достаточными привилегиями:
- либо запущен от рута,
- либо имеет соотвествующие cap на бинарнике.
Вот в и-нете читал, что мол когда от рута, то nginx каким-то образом может сам себе лимиты выставлять, вот для того и есть этот конфиг, а так берется системный.