Ao modelar um arquivo sudoers em máquinas, eu (agora) me certifico de que o arquivo só seja instalado em seu local final se visudo o tiver verificado.
Eu faço algo assim no meu manual:
- action: template src=sudoers.in dest=/etc/sudoers.tmp
- action: shell visudo -q -c -f /etc/sudoers.tmp && cp /etc/sudoers.tmp /etc/sudoers