Как Unix отслеживает рабочий каталог пользователя при навигации по файловой системе?

Да, возможно, стоит проводить политику SELinux даже в контейнере. Одна из идей SELinux заключается в том, чтобы иметь вторую линию защиты, т.е. если какой-нибудь контейнер (или chroot) сломается, процесс внутри него все равно может не делать то, что он хочет - или, возможно, он даже не сможет сломать контейнер из-за SELinux - или, он даже не сможет сделать что-то нежелательное внутри контейнера/ chroot.