А зачем, кстати, тебе нужен интерактивный рутовый шелл в CI-джобе?

Да, так убунта по-дефолту настроена.

Всегда так подключаюсь. А как не интерактивный и в чем разница будет?

интерактивный — это в котором ты сам команды вводишь. Чего ты хочешь добиться, выполняя sudo -s в рамках github actions?

Чтобы меня перекинуло в пользователя root

Я потом пишу git pull чтобы подтянуть изменения

Просто на сервере есть папка . root и там все папки важные. Или лучше тогда вытянуть из root папки наверх? Как по безопасности?

Ну перекинет (и, скорее всего, сразу же выкинет, т.к. шелл без терминала сразу выйдет, скорее всего). А дальше остальные команды в джобе побегут под непривилегированным юзером
sudo -s не повышает права текущего процесса (в частности, баша, интерпретирующего твой скрипт), он создает новый процесс с повышенными правами. и, соответственно, будучи вызванным в середине скрипта, на дальшейние команды в самом скрипте не повливяет.

Тебе нужно написать отдельный скрипт с командами для рута, и уже его запускать через sudo

Напримев вот сам скрипт
сd /root/app
git pull

Так его переделать?

sudo сd /root/app
git pull

Так у тебя запустится с повышенным привилегиями только cd, который затем сразу же завершит работу, никак не повлияв на дальнейшие команды.
Еще раз, sudo не меняет контекст выполняемого скрипта, в котором он запускается, и, соответственно, на другие команды тоже. Только на те, которые запускаются через sudo явно.

А например так sudo bash.sh?

Ну, если у тебя сам скрипт называется bash.sh (хоть это и странное название), то да.

Я пример привел просто. Спасибо за помощь

Еще вопрос. Могу я запускать ansible плейбуки через github actions или например jenkins?

Можешь, конечно. Кто тебе запретит? :)

дд, вопрос наверно уже изъезженный, но задам: разработчики жили-были долгое время на стеке nginx + php-fpm, запущенные на хостовой машине. С некоторого периода они начали смотреть на RoudRunner. Хотят его запускать в докере. Сейчас разработчики работают под непривилегированными пользователями. В случае работы с контейнерами - их надо добавлять в группу docker - а это по сути доступ ко всей хостовой машине. Как вообще поступить? Пока идет речь только о деве, на проде тоже планируется, то там думаю сможем обойтись CI

сделать пока локальное окружение у разработчиков не получается - там проблемы с доступом к оракловым серверам

userns (https://docs.docker.com/engine/security/userns-remap/), но это может быть больно (смотри ограничения), больно особенно с волумами