Bem-vindo ao anel 0! btw, você precisará do RBAC para restrições baseadas em função. Você adivinhou? O RBAC vem do controle de acesso baseado em função, há outros também.
Antes de tudo, você deve realmente ler sobre o SELinux, pois pode ser perigoso apenas definir / obter privilégios sem conhecer os efeitos. Veja, por exemplo, o Manual do Gentoo Hardened .
Acho que o papel mais importante é simplesmente o que você deu a maioria das permissões de acesso ...
Há outras soluções também, por exemplo, o grsecurity também tem seu sistema RBAC. Primeiro, o Manual do Gentoo afirma que system_r é o mais alto dos níveis padrão, mas também tem algumas restrições. Você deve consultar manuais e definir suas funções conforme necessário.
Este é o artigo sobre o RBAC no SELinux de Centro de Tecnologia IBM Linux.
E aqui estão algumas linhas do Manual do Gentoo:
The system_r role is used for highly privileged system services. The system_r role is allowed to switch to any other "default" role. No role exception sysadm_r can switch to the system_r role.