Как работает sudo и как настроить права конкретному пользователю?

sudo позволяет пользователям выполнять команды от имени другого пользователя (обычно root) по правилам из /etc/sudoers. Редактировать sudoers нужно через visudo — она проверяет синтаксис. Запись "deploy ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart app" даст пользователю deploy права рестартовать только конкретный сервис без пароля. Принцип минимальных привилегий — давать только то что нужно.