(1): Eu não sei, mas isso não importa. Se você executar docker run -it centos você inicia um novo contêiner e está dentro dele imediatamente como root. Você pode definir, interativamente, uma nova senha de root com passwd . Mas este é um caso raro, usado principalmente para os primeiros passos em contêineres.
(2): Se alguém deriva de uma imagem de base, tente obter o Dockerfile para isso. Dessa forma, você pode procurar se e qual senha ele definiu. Se o Dockerfile não estiver disponível, eu pessoalmente questionaria a qualidade da imagem como um todo, já que você nunca sabe o que mais pode estar na imagem. Sua milhagem pode variar. De qualquer forma, você pode derivar dessa imagem e definir outra senha root.
(3): O seu caminho proposto com passwd é justo, mas implementar uma senha fixa em um contêiner parece errado para mim de qualquer maneira. Um contêiner deve implementar uma tarefa e nunca precisa estar logado. Para sessões de solução de problemas excepcionais, você sempre pode acessar o contêiner do host do Docker com "docker attach" ou "docker exec". Se você realmente precisa fazer o login no container, coloque uma chave pública ssh em um ~/.ssh/authorized_keys , para que você possa controlar a partir do exterior quem obtém acesso ao contêiner (quem tiver acesso à chave ssh secreta correspondente).