Перелогинься

блин, сервер удаленный подключаюсь по ssh. перелогин говорит вести пароль, пробовал переключатся на root и назад, все равно получается выполнять команды

А вы прям копипастили мой пример?

да)))

Сделать в гитлабе токен с правами только на pull?

Вариантов много ограничить:

1)Добавь самлинк на /bin/flse гиту и сделай алиас нужным юзерам в bashrc, на сами bashrc юзеров дай chattr.
2) Поставь Lshell
3) Сделай chroot для каждого юзера и помести туда нужные команды
4)Сделай разграничение файловыми пермиссиями (setfacl)
5) Перекомпиль сам бинарь гита с проверкой через EUID только для рута
6) Переименуй бинарь гита наприме в git-root и дай алиас руту alias git="/usr/bin/git-root" добавь

а вообще конечно если из stage или прод можно пушить обратно в репу - это страшный косяк, он решается закрытием доступа на колбек до гита (чтобы у тебя трафик ходил только в одну сторону).

это сильный косяк, просто мерджить тоже умудрялись, поэтому хочется зарыть все пути, а пользователей (разрабов) много

как я понял вначале идет пользователь а не razrabigroup )

Да, там должен быть твой юзер

И посмотри в /etc/group, нет ли твоего юзера в wheel, sudo

что-то все равно все команды доступны, в /etc/group пользователь мой есть, но он не перечислен в sudo

Доступны или выполняются?

выполняются

есть группа какая-то adm там есть мой пользователь

grep -ri adm /etc/sudoers.*

есть такая команда
%sudo  ALL=(ALL:ALL) ALL
я её закомментировал вышел из root к своему юзеру и все равно могу sudo юзать

будто не применяются права

пусто

у тебя там разрабы поди все тоже руты и вообще пол инета сидит на сервере