Большинство разговоров о целостности файлов крутятся вокруг содержимого: изменился ли байт внутри бинарника, совпадает ли хеш исполняемого файла с эталонным. Это важно, но это лишь половина картины. Файл можно не трогать вовсе, и при этом сломать всё: достаточно изменить его SELinux-метку, убрать capability из security.capability, поменять владельца или биты доступа. Решения на уровне содержимого этого не увидят. Именно здесь начинается территория EVM, Extended Verification Module, компонента ядра Linux, который следит не за тем, что написано внутри файла, а за тем, что написано о файле...