Eu não usei o tripwire em idades, mas conceitualmente :
Você pode optar por limitar o relatório do tripwire para alertar / relatar apenas os arquivos ausentes e recém-criados nos diretórios */bin/
, */sbin/
e */lib/
, em vez de comparar as somas de verificação do arquivos nesses diretórios.
Você, então, usa o gerenciador de pacotes para relatar a integridade dos pacotes, conforme explicado, por exemplo, pergunta que deve detectar quando os binários foram substituídos ou quando o gerenciador de pacotes foi usado para substituir pacotes existentes por pacotes não confiáveis.
É certo que o formato RPM é um pouco mais strong ao exigir pacotes assinados, embora este artigo explica como impor e verificar pacotes assinados no Debian e no Ubuntu.