ちょっと前回は、やりすぎた感があります。

デフォルトの SELinux ユーザーを unconfined_u にする前（ユーザーをロックダウンする前）まで戻りました。

では、root ユーザの SELinux ログイン設定を、unconfined_u に戻しましょう。

# semanage login -m -s unconfined_u root

# semanage login -l

（表示）

ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0 *

root ユーザーを unconfined_u のままにしつつ、次のことを実行します。
ユーザーを作成した時に、staff_u をデフォルトにしましょう。

# semanage login -m -s staff_u __default__

確認します。

# semanage login -l

（表示）

ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ staff_u s0 *
root unconfined_u s0 *

システム再起動

これで、myuser から su コマンドを発行しても、staff_u SELinux ユーザーは su が許可されていない
ので、root にはなれません。
root になれるのは、root ユーザーが root でログインした時だけです。

つづく。