次は、ユーザーについてロックダウンしていくことを検討しましょう。

ユーザーについての現在の設定を確認する。

# semanage login -l
================
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
================

root は、unconfined_u にマッピングされ、デフォルトユーザーも同様となります。

では、strict policy に近づけていく作業を始めましょう。

root が、unconfined_u という SELinux ユーザーにマッピングされています。
これを、staff_u という SELinux ユーザーにマッピングしなおします。

# semanage login -m -s staff_u root

設定を確認します。
# semanage login -l
================
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root staff_u s0-s0:c0.c1023 *
================

root が staff_u にマッピングされました。

ここで、/root のデータを ssh 経由でダウンロードしようとすると、多数のエラーが audit log に出力されました。

ちょっと解決策がすぐには分からないので、一般ユーザでデータのやり取りをするようにしましょう。
一般ユーザでの ssh には、何の問題もありませんでした。

お疲れさまです。