O que parece funcionar foi criar um módulo próprio com o seguinte:
module llvm 1.0;
require {
class process { execmem };
};
type llvm_t;
allow llvm_t self:process execmem;
Infelizmente, não consegui definir nenhum tipo de arquivo em meu diretório pessoal, pois eles estavam contidos em uma montagem ecryptfs. Então acabei permitindo todo o domínio não confinado com execmem. Isso é mais permissivo do que eu esperava, mas ainda muito melhor do que permitir todos os processos no sistema execmem.
module llvm 1.0;
require {
type unconfined_t;
class process { execmem };
};
allow unconfined_t self:process execmem;