Normalmente, a raiz não recebe um prompt de senha. O su do Linux não suporta contas sem senha; login permite qualquer senha se a conta não tiver senha.
O comportamento que você descreve parece ser uma configuração ruim do PAM , talvez linhas na ordem errada. Verifique sua configuração do PAM: /etc/pam.conf , /etc/pam.d/su e qualquer arquivo incluído. As linhas importantes são as linhas auth .
Uma configuração básica típica para su é
auth sufficient pam_rootok.so
auth required pam_unix.so
Eu não sei qual é a configuração padrão no CentOS, pode ser mais complexo permitir a autenticação LDAP, Kerberos, automount de diretório pessoal, etc. Se você precisar de ajuda para entendê-la, poste sua configuração PAM (pelo menos a cada auth linha que se aplica a su , na ordem correta).