修正

statの返り値をちゃんと見るように変更。
PANDAさんありがとうございます。
他にも怪しい箇所が山盛りかも。。。

シンボリックリンクの扱いが怪しい

allow /var/mail/**
(/var/mail -> /var/spool/mail という関係）
とした場合、
file_contextsに
/var/mail(/.*)?
というのを吐き出してしまう。大丈夫かチェックせねば

変更点

allowprivのうち、POSIX capability由来のものは、
capabilityと同じ名前にした。
allowpriv memlock -> allowpriv cap_ipc_lock
結局、詳しい意味を知るには
man capabilitiesせざるをえないので、
こっちのほうが便利。

あとは、省略したcapabilityも互換性のために復活させたほうがいいのかも。
どうせaudit2spdlで生成できるし。。