Каковы последствия для безопасности учетной записи пользователя без пароля в linux?
Это сделает атаки методом перебора очень эффективными, поскольку они обычно начинаются с проверки пустого пароля. Последствия зависят от того, как настроена система. Некоторые системы и службы могут не разрешать вход в систему с помощью учетной записи без пароля (например, pam_unix nullok option) или ограничивать такой вход некоторыми устройствами (например, см. pam_unix nullok_secure option и /etc/securetty).
Может ли программа войти в систему "напрямую" (без использования su) с пустым паролем?
Программа с suid может это сделать. Обычная программа может, в зависимости от ОС и от того, вызывается ли она из оболочки входа или нет.