Depende se a interface password
verifica a senha atual ou se isso é feito pela interface auth
normal. Eu suspeitaria do último devido a root poder definir senhas de outros usuários sem fornecer a senha anterior do usuário, caso em que você deve ser capaz de fazer algo assim:
# Accept authentication with either Blowfish or SHA512
auth sufficient pam_unix2.so
auth sufficient pam_unix.so
# Set new passwords only with SHA512
password required pam_unix.so sha512