Сверка целостности состояния оси, чем можно сверять? Есть ли что-то готовое?

Определение списка запускаемых файлов и скриптов, которые не содержатся в установленных пакетах.

Надёжнее всего - переустановкой. Есть готовое.

md5sum + diff

Так хотелось бы периодически запускать из крона и если что-то нитак - получать сообщение по e-mail, неужели велосипедить опять?

бивис который никто трогать не будет не забыл, а nvram забыл. эх, не быть тебе безопасником.

Почему бивис не будут?

nvram за пределами его файловой системы? а как оттуда активировать?

md5 значительно меньше других хешей гарантирует уникальность. Лучше sha1+

Да у меня нет проблемы сравнить файлы, я это умею.

Вопрос в том, неужели нет уже готового? Я и так уже навелосипедил огого,

IDS предусматривает то, что я описал в начале?

tripwire, aide, samhain?

я также написал подмножество STIG в виде тестов для goss: https://gitlab.com/ivladdalvi/goss-stig, можешь попробовать использовать в качестве отправной точки для своих тестов.

Нашёл то, кто записи с видеокамеры удалял?

Хотя бы найти как, какое там кто.

Вот эти пони и лоли наверно, за их авами скрываются коварные хацкеры с инструментарием НСКашимов.

Тебе нужна система «Соболь».

Защита от несанкционированного доступа и предотвращения любых модификаций для рабочих станциях.

Одобрено КаГэБэ, проверено Роскомнадзором. Глобально и надежно.

Может тебе нужно это https://wiki.enchtex.info/tools/security/aide ?

ФСБ донимает?

Вот тебе готовое: https://man.openbsd.org/security.8

Под wanna-be-unix адаптируешь сам.

pkg check встроена во FreeBSD. См также pkg lock для блокировки обновления пакета.

Скорее частная спецслужба ЗОГ, но все штуковины из арсенала КФСБ и АНБ по всей вероятности у них в наличии.

afick

В конфиге указываете, что именно сверять. Один раз создаете базу данных корректных хешей и указываете интервал проверки и получаете письма на почту, если что-то изменилось.

Может ли оно сверять UEFI/BIOS? Не знаю.