Como posso manter o * all * environment vars para um comando específico no sudo?

Após testar a primeira resposta e ainda obter sudo: sorry, you are not allowed to preserve the environment , decidi procurar uma solução melhor.

Após alguns testes, descobri que a opção que importa é setenv .

Defaults!/bin/build.sh setenv

Para torná-lo um pouco mais seguro, podemos adicionar algumas configurações:

Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11/bin"
Defaults!/bin/build.sh setenv,env_reset,env_delete+=PATH,env_delete+=LD_PRELOAD,env_delete+=LD_LIBRARY_PATH,env_delete+=SSH_AUTH_SOCK,env_delete+=PYTHONPATH,env_delete+=PERL5LIB
%deploy  ALL=(ALL) NOPASSWD: /bin/build.sh *

Se você quiser permitir que os usuários no grupo deploy executem qualquer comando com praticamente qualquer variável de ambiente:

Defaults:%deploy !env_reset,env_delete-=PYTHONPATH,env_delete-=PERL5LIB
%deploy ALL = (ALL) ALL

Execute sudo -V para ver quais variáveis são excluídas.

Não há muito sentido em restringir o comando se você permitir que o usuário preserve todas as variáveis de ambiente, já que isso provavelmente permitirá que o usuário execute código arbitrário através de alguma variável.

Se você revisou cuidadosamente seu script e tem certeza de que possui uma lista exaustiva de variáveis de ambiente que precisam ser removidas, é possível especificar que essas variáveis de ambiente devem ser excluídas e todas as outras devem ser mantidas.

Defaults!/bin/build.sh !env_reset,env_delete+=DANGEROUS_VAR
%deploy ALL = (ALL) /bin/build.sh

Execute sudo visudo e comente as duas linhas mostradas abaixo. Comentar apenas env_reset não funciona

#Defaults       env_reset
Defaults        mail_badpass
#Defaults       secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH"