ça indique que php-fpm veut écrire dans certains repertoire, ce qui normalement est pas forcément conseillé. Sauf certains endroits comme les caches, logs, rep d'upload. Mais par ex pourquoi ton application veut ecrire dans le rep javascripts ? C'est dangereux.
Du coup pour résoudre ça, si ça t'interesse, il faut changer le contexte selinux des repertoires où tu trouve ça normal que php veulent écrire.
ex
type=AVC msg=audit(1548700387.658:680): avc: denied { write } for pid=14473 comm="php-fpm" name="thumbnails" dev="dm-0" ino=681474 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=dir permissive=0
indique que php-fpm veut ecrire (write) dans thumbnails (surement pour générer des vignettes), et que c'es rejetter par SELinux (peut importe les permissions sur le FS) car le contexte indique qu'il s'agit de contenu (httpd_sys_content_t) httpd systeme (d'ailleurs c'est bizarre, mais bref). Il faudrait donc indiquer à Selinux que ce repertoire à un contexte de contenu httpd avec écriture possible (httpd_sys_rw_content_t).
semanage fcontext -a -t httpd_sys_rw_content_t /var/www/html(/.*)?/thumbnails(/.*)?
ça ajoute les chemins /var/ww/html/*/thumbnails* dans SELinux pour que les fichiers possèdent le contexte indiqué.
suivi d'un
restorecon -rv /var/www/html
tu devrais voir les repertoires et fichiers sous thumbnails passer en contexte httpd_sys_rw_content_t
Après tu retourne dans ton navigateur sur l'appli en question, et tu regardes les log audit, tu verras plus la ligne write pour thumbnails normalement.
ps: Tu peux voir la liste des contextes en rapport avec httpd déjà existants :
semanage fcontext -l |grep httpd_