selinuxを勉強しているものです。CentOSでのselinuxのroot権限の有無をwebで色々調べるとroot権限が存在しない、という意味合いの記事をたくさん見つけました。しかし、自分の手元にあるselinuxが適用されたcentos7で調べてみるとrootユーザーは存在しますし、全ての操作ができるように見えるので、root権限を与えられたrootユーザは存在しているように見えました。

そこで自分なりに考えてみました。要するにselinuxを適用したシステムにおいてroot権限が存在しないというのは

• 各プロセスがドメイン遷移の効果で最小限のプロセス権限で動いているのでroot権限で動いているプロセスが存在しない、ということ
• selinuxを適用してもroot権限は存在するが、特にwebからの不正侵入による被害を最小限の権限しか持たないプロセスに限定することができる

というこでよいのでしょうか？？

これを前提とした場合に例えば、ユーザのパスワードやrootのパスワードが漏洩してしまうと、侵入される可能性があり、システム侵入後は普通にシャットダウンや、ファイルの削除、パスワードの変更などなど、システムを乗っ取ることができるということで良いのでしょうか？？

追加質問

下記の場合

# semanage login  -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *

# semanage user -l

                Labeling   MLS/       MLS/                          
SELinux User    Prefix     MCS Level  MCS Range                      SELinux Roles

guest_u         user       s0         s0                             guest_r
root            user       s0         s0-s0:c0.c1023                 staff_r sysadm_r system_r unconfined_r
staff_u         user       s0         s0-s0:c0.c1023                 staff_r sysadm_r system_r unconfined_r
sysadm_u        user       s0         s0-s0:c0.c1023                 sysadm_r
system_u        user       s0         s0-s0:c0.c1023                 system_r unconfined_r
unconfined_u    user       s0         s0-s0:c0.c1023                 system_r unconfined_r
user_u          user       s0         s0                             user_r
xguest_u        user       s0         s0                             xguest_r

• 作成した覚えは無いのですが、system_u というログインユーザーは存在するんでしょうか？？これはどういった役割のユーザなのでしょうか？？rootがrootでその他のユーザは__default__なのはわかります。

• unconfined_u と system_u　に紐付いているロールが共に同じなのですが、デフォルトではselinuxのユーザのロールによる権限分割されていないのでしょうか？？