Primeiro, você está corrigindo que semanage fcontext -a -t <type> <filepattern> torna as alterações de arquivos permanentes adicionando-as à política. Você precisará reclassificar ou restorecon -R -v <filepattern> para aplicar essas alterações. chcon não altera a política, apenas o contexto do disco.
Você pode gerar uma lista de diferenças para sua política rotulada com matchpathcon , especificamente:
matchpathcon -V /path/to/file
Infelizmente, não tem opção recursiva, provavelmente devido ao fato de que andar na árvore seria caro, mas você poderia dirigi-lo com:
find / -exec matchpathcon -V {} \;
No entanto, tenha cuidado. Acredito que o find percorrerá todas as montagens do sistema de arquivos, incluindo sistemas de arquivos sem atributos estendidos (xattrs), que podem causar problemas. É claro que, se todos os seus sistemas de arquivos tiverem atributos estendidos, não haverá problema.
Uma vez que você tenha esta lista, você pode escrever um script para escolher aqueles que você vai usar semanage . Eu não sei de uma maneira automatizada de fazer isso em um hit, no entanto.