おつかれさまです。

さて、myuser の SELinux ユーザーを staff_u にしましたよね。

$ id -Z

（表示）

staff_u:staff_r:staff_t:s0

然し乍ら、myuser のホームディレクトリのセキュリティコンテキストを確認すると、以下のようになっています。

$ ls -lZ

 （表示）

unconfined_u:object_r:user_home_t:s0

これはよくないと思うので、ラベルを貼り直したいところです。

ラベルを貼り直すのは、restorecon コマンドでおこないますが、既に一般ユーザーは、SELinux ユーザー staff_u にマッピングされており su コマンドが使えなくしてあるので、まだ unconfined_u にマッピングされている root になる必要があります。

# restorecon -Rv /home/myuser

うーん、staff_u にならないようです。

では、/.autorelabel ファイルを作成してから再起動したらどうでしょうか。

注意事項を学んだのですが、この時は、permissive にする必要があります。

うーん、やってみましたが、だめでした。

以下のコマンドで、できました。

# chcon staff_u:object_r:user_home_t:s0 -R /home/myuser

ところで、もう一度やってみたら、permissive にしたら、restorecon でもいけました。

ということは、unconfined モジュールを削除したシステムでは、一般的に restorecon も permissive にせんといかんということなのかな。