Se você precisar auditar um servidor já em execução, primeiro é necessário pensar em como obter uma configuração semelhante para criar uma base confiável para sua comparação. Você pode instalar a mesma versão do sistema operacional em uma máquina de teste e criar um banco de dados de soma de verificação com ferramentas como mtree, help etc. Depois, você pode instalar software de terceiros do sistema de empacotamento do sistema operacional e executar a soma de verificação nesses novos arquivos. Como você teria confiado no DB com assinaturas, você pode obter as mesmas assinaturas no seu servidor que está sendo auditado. Em seguida, compare os resultados.
Criando tais assinaturas, o banco de dados deve fazer parte das etapas de pós-instalação. Após a instalação básica do sistema operacional a partir de mídia confiável, crie um banco de dados com assinaturas. Se você usasse um sistema de implantação como cfengine, puppet, chef etc., você pode automatizar essas atividades. Além disso, essas ferramentas têm esses recursos de auditoria integrados (comparando as somas de verificação dos arquivos).