Usuário do Selinux não confinado ao usar o su
Alguns aplicativos ou ajudantes utilizam o PAM para obter / definir restrições ao SELinux. O SSHD, por exemplo, exigiria que você tivesse UsePAM yes para que as restrições do usuário do SELinux fossem ativadas. Dependendo de suas políticas de SELinux e booleanos, você pode ser capaz de contornar o confinamento ao usar alguns helpers como su ou sudo e também dependendo de como eles são executados. Isso requer entender quais transições são permitidas na política do SELinux.
Se Mary efetuar login via SSH e UsePAM yes estiver definido, eles deverão ser confinados conforme o esperado e seu valor booleano deverá entrar em vigor.