Configurando DEBIAN_FRONTEND remotamente

Você poderia permitir que o usuário defina a DEBIAN_FRONTENDvariável ao usar sudo, mas ... você concedeu permissão para o usuário executar o script usando sudo, então não há razão para usar sudo dentro do script. Basta executar o próprio script com sudo.

Mude seu script para:

#! /bin/bash
apt-get update
DEBIAN_FRONTEND=noninteractive apt-get -y dist-upgrade
DEBIAN_FRONTEND=noninteractive apt-get -y autoremove
snap refresh

E então execute-o usando:

ssh -i "$HOME/.ssh/id_rsa" backupuser@server_one sudo "$SERVER_COMMAND"

Dito isto , você deveria usar unattended-upgradesem vez de reinventar a roda.

Para o caso específico de permitir que um usuário defina uma variável de ambiente para um comando específico, adicione a SETENVtag além da NOPASSWDtag. De man sudoers:

 SETENV and NOSETENV

   These tags override the value of the setenv flag on a per-command basis.  If SETENV has
   been set for a command, the user may disable the env_reset flag from the command line via
   the -E option.  Additionally, environment variables set on the command line are not
   subject to the restrictions imposed by env_check, env_delete, or env_keep.  As such, only
   trusted users should be allowed to set variables in this manner.  If the command matched
   is ALL, the SETENV tag is implied for that command; this default may be overridden by use
   of the NOSETENV tag.

Então a regra deveria ficar assim:

backupuser      ALL=(ALL) NOPASSWD:SETENV: /usr/bin/apt-get

Para todos os efeitos e propósitos práticos, consulte a resposta de @muru . Se estiver com pressa, apenas a sudoalteração na sshlinha em server_two é necessária, e o /usr/local/bin/perform-updatescript em server_one não precisa ser editado. Mas por questões de segurança, ele deve ser seguido na íntegra, além da minha edição no final da minha resposta.

E se considerarmos as coisas de outra maneira? E se não pudéssemos alterar o comando em server_two e só pudéssemos alterar o comando em server_one? Eu estava procurando uma opção do APT para definir apenas uma variável de ambiente, mas encontrei mais do que esperava. Aqui está uma resposta ultrajante e pronta para uso apenas para demonstrar que sua /etc/sudoersapólice precisa ser protegida.

#!/bin/bash
# Put this in /usr/local/bin/perform-update
# No need to manually change any other file

# Use the -o to inject any arbitrary apt-config option.
# First write a wrapper file to execute later that
# sets up DEBIAN_FRONTEND=noninteractive and passes on the arguments.
sudo apt-get update -o APT::Update::Pre-Invoke::='echo '\'$'#!/bin/sh\nexport DEBIAN_FRONTEND=noninteractive\nexec /usr/bin/dpkg "$@"'\'' > /usr/dpkg; chmod 700 /usr/dpkg'
# Then use -o again to make dist-upgrade use the wrapper.
sudo apt-get -y dist-upgrade -o Dir::Bin::dpkg=/usr/dpkg
# autoremove should use DEBIAN_FRONTEND=noninteractive too because
# removing some packages like display managers may cause prompting.
sudo apt-get -y autoremove -o Dir::Bin::dpkg=/usr/dpkg
sudo snap refresh

Não acho que você pretendesse dar backupuseracesso root completo. Para proteger seu sistema, você precisa remover as linhas apt-gete seguir a resposta de @muru.snapvisudo

EDIT: Exceto que você precisa remover apt-geta linha em visudo. Essas 3 linhas devem ser substituídas apenas pela primeira linha:

backupuser      ALL=(ALL) NOPASSWD: /usr/local/bin/perform-update