Eu consegui resolver o meu problema. O que estava me confundindo é que eu pensei que
pam-auth-update --force
estava sobrescrevendo completamente todos os arquivos de configuração do PAM ( /etc/pam.d/common-* ), para que esses arquivos terminassem como se fossem novos em folha. Mas isso não acontece. O que o pam-auth-update faz é sobrescrever todo o texto desses arquivos até a última linha do arquivo de configuração padrão , que realmente lê # end of pam-auth-update config (eu não tinha percebido que era bastante auto- explicativo). Qualquer coisa escrita pelo usuário antes dessa linha é sobrescrita, mas tudo que aparece após essa linha não é tocada pela atualização.
Por alguma razão, as linhas
@include common-auth
@include common-session
@include common-session-noninteractive
que são chamados pelo PAM ao executar o serviço sudo , foram colados no final do arquivo common-session-noninteractive e a atualização do PAM não os estava excluindo. Eles estavam fazendo o PAM pedir a senha uma segunda vez.