Como configurar o Debian sudo para solicitar senha no início de cada sessão de login?

De man bash:

Quando um shell de login sai, o bash lê e executa comandos dos arquivos ~/.bash_logout e /etc/bash.bash_logout, se os arquivos existirem.

E, de man sudo:

-K' A opção -K (sure kill) é como -k, exceto que remove as credenciais em cache do usuário completamente e não pode ser usada em conjunto com um comando ou outra opção. Esta opção não requer uma senha. Nem todas as políticas de segurança suportam cache de credenciais.

-k [comando] Quando usada sozinha, a opção -k (kill) para sudo invalida as credenciais armazenadas em cache do usuário. Na próxima vez que sudo for executado, uma senha será necessária. Esta opção não requer uma senha e foi adicionada para permitir que um usuário revogue as permissões sudo de um arquivo .logout. Nem todas as políticas de segurança oferecem suporte ao cache de credenciais.

Quando usado em conjunto com um comando ou uma opção que pode exigir uma senha, a opção -k fará com que o sudo ignore as credenciais em cache do usuário. Como resultado, o sudo solicitará uma senha (se uma for exigida pela política de segurança) e não atualizará as credenciais em cache do usuário.

Então colocar sudo -Kou sudo -kem ~/.bash_logoutdeve resolver.

Teste sudo -Kvs sudo -kem uma sessão interativa, antes e depois do sudotempo limite (padrão 5 minutos, geralmente), antes de modificar ~/.bash_logout.

Assim como qualquer modificação no processo de autenticação, esteja preparado para FALHAR e bloquear você. Como? Usando o atcomando para desfazer a alteração após alguns minutos de teste. No seu caso,

at "now +10 minutes" 
rm -f $HOME/.bash_logout
^D

Você tem 9 minutos para experimentar e depois sua alteração será revertida.