Faz sentido usar o SELinux dentro de uma chroot jail? Estou pensando que, como na prisão chroot , deve haver apenas o mínimo, não há muita coisa comprometida.
Ainda há uma vantagem em usar o SELinux dentro de uma chroot jail?
Sim, pode valer a pena impor políticas do SELinux mesmo em um contêiner. Uma ideia por trás do SELinux é ter uma segunda linha de defesa, ou seja, se algum contêiner (ou chroot ) quebrar, um processo dentro dele ainda pode não fazer o que quer - ou, pode não ser capaz de quebrar o contêiner devido para o SELinux - ou, não pode fazer algo indesejável dentro do container / chroot.
Um chroot jail apenas previne processos que estão rodando no chroot de acessar diretamente arquivos fora do chroot. Ele não impede que os processos no chroot acessem coisas que não sejam arquivos, como outros processos (que podem ser mortos e rastreados se executados como o mesmo usuário), a rede, etc. Também não impede processos no chroot de explorar erros de outros processos (por exemplo, programas setuid).
O Chroot em si não é uma ferramenta de segurança. O Chroot fornece segurança apenas em combinação com outras medidas; pelo menos, qualquer processo em execução dentro da cadeia deve estar sendo executado sob um ID de usuário diferente de qualquer processo que esteja sendo executado fora da cadeia.
O SELinux, se configurado corretamente (o que pode ser difícil), fornece isolamento, mesmo para processos em execução como raiz. O Chroot é de fato redundante como uma ferramenta de segurança se você tiver o SELinux - você pode configurar o SELinux para restringir um programa a certos diretórios - mas é muito mais fácil de configurar corretamente.