Można użyć opcji rd.break, zamontować system plików na rw, zmienić hasło, a potem dać touch /.autorelabel.
Jednak taka opcja długo trwa.
Inną możliwością jest załadowanie policy SELinuksa (load_policy -i), jednak w takiej sytuacji ciągle komenda passwd w chroocie nie działa prawidłowo. Można się bez niej obyć i ręcznie usunąć z /etc/shadow hasło, jednak takie działanie imho nie zawsze jest pożądane.
Jak więc to poprawnie i szybko (bez czekania na .autorelabel) zrobić?