3 meses depois, acho que tenho uma resposta para minha própria pergunta. Parece que a configuração sem senha é necessária apenas quando o servidor de produção é registrado pela primeira vez no docker-machine.
Quando o comando docker-machine create --driver generic [...]
for inserido com sucesso, docker-machine
poderá se conectar ao host remoto usando o soquete na porta 2376 e sudo
não será mais usado no servidor de produção.
Em outras palavras, a configuração do sudo sem senha deve estar presente por alguns segundos no servidor e pode ser desativada posteriormente.