Todo mundo precisa ler /etc/passwd
e gravar em /var/tmp
. Então, esses não são um problema.
A versão do kernel também não é um problema, desde que você esteja realmente instalando atualizações, usando o Ksplice, etc.
Quanto a conexões de rede de saída, você pode restringir isso, pois alguns sites não precisam fazer essas conexões. Mas às vezes, por exemplo, a maioria dos sites precisa se conectar a um banco de dados. Você pode gerenciar isso com o booleano do SELinux, como:
# semanage boolean -l | grep httpd_can_network
httpd_can_network_relay (off , off) Allow httpd to can network relay
httpd_can_network_connect_db (off , off) Allow httpd to can network connect db
httpd_can_network_connect (off , off) Allow httpd to can network connect
httpd_can_network_memcache (off , off) Allow httpd to can network memcache
httpd_can_network_connect_cobbler (off , off) Allow httpd to can network connect cobbler
A configuração de httpd_can_network_connect
permite todas as conexões de rede de saída para qualquer lugar; os outros são mais restritivos e só permitem conectar-se a cada serviço específico.
Lembre-se também que se você estiver usando nginx e php-fpm, esse php não é restrito pelo SELinux até o CentOS 6.6 e 7.