Среди опций файла sudoers имеется targetpw который меняет дефолтное поведение sudo. После чтения его описания впадаешь в уныние, так как сказано, что это глобальный флаг, но покопавшись в разделе examples в man 5 sudoers находим, что глобальные опции тоже можно включать избирательно.
Defaults targetpw
Defaults>root !targetpw
Позволяет требовать пароль пользователя под которым собираешься исполнить команду либо требовать пароль пользователя который пытается использовать sudo ежели целевой пользователь это root.