hook691,
Максимальную защиту SELinux дает когда переключен в режим enforced и при этом используется политика strict или политика MLS/MCS.
Если SELinux работает в режиме permissive, то фактически никакой защиты нет - только лишь фиксируются нарушения текущей политики.
Если SELinux переключен в режим enforced, но используется политика targeted, то защита осуществляется только применительно к "известным" программам, для которых в политике определены разрешения и запреты. "Неизвестная" программа фактически имеет административные привилегии