`sudo --preserve-env=MY_VAR` vs `sudo env MY_VAR=$MY_VAR`

Pergunta interessante. Em primeiro lugar, definir o ambiente manualmente é tedioso, portanto, --preserve-envobviamente, é melhor.

Para o aspecto de segurança: a configuração do sudo pode impedir a execução envcom o sudo ou, melhor ainda, permitir a execução de uma lista específica de comandos que não inclui env.

Eu consideraria uma configuração sudoer que não está restrita a uma lista limitada de comandos como acesso root completo. Não é apenas env. Por que não fazer sudo bash -c 'export MY_VAR="$MY_VAR"; exec <cmd>'. É problemático como ter um shell restrito do qual você não deve escapar. Se você não limitar estritamente o que pode ser executado, provavelmente haverá uma rota de fuga.

Esta parte da página de manual do sudoer apóia isso na minha opinião:

SETENV e NOSETENV

Essas tags substituem o valor da opção setenv por comando. Observe que, se SETENV tiver sido definido para um comando, o usuário pode desativar a opção env_reset na linha de comando por meio da opção -E. Além disso, as variáveis ​​de ambiente definidas na linha de comando não estão sujeitas às restrições impostas por env_check, env_deleteou env_keep. Como tal, apenas usuários confiáveis ​​devem ter permissão para definir variáveis ​​dessa maneira. Se o comando correspondente for ALL, a tag SETENV está implícita para esse comando ; esse padrão pode ser substituído pelo uso da tag NOSETENV.

Portanto, se um usuário tiver permissão para usar todos os comandos, incluindo envele/ela pode (por padrão) também usar --preserve-env. Se a configuração permitir apenas um comando específico, o padrão é NOSETENV para que o usuário não possa --preserve-envnem chame envpara ignorá-lo.

TL;DR: é improvável que você não tenha permissão para usar, --preserve-envmas pode usar env.