de man sudoers:
rootpw If set, sudo will prompt for the root password instead of the
password of the invoking user. This flag is off by default.
runaspw If set, sudo will prompt for the password of the user defined
by the runas_default option (defaults to root) instead of the
password of the invoking user. This flag is off by default.
Ou você pode simplesmente banir logins baseados em senhas via ssh completamente. Exigir uma chave criptografada de frase secreta para login remoto. Então você está livre para usar a senha do sudo. A opção relevante é
do man sshd_config
PasswordAuthentication
Specifies whether password authentication is allowed. The default
is “yes”.