O comando debsum parece ser o que você está procurando .
$ debsums | head -10
/usr/lib/libaccount-plugin-1.0/providers/libaim.so OK
/usr/share/accounts/providers/aim.provider OK
/usr/share/accounts/services/aim-im.service OK
/usr/share/doc/account-plugin-aim/copyright OK
/usr/lib/libaccount-plugin-1.0/providers/libfacebook.so OK
/usr/share/accounts/providers/facebook.provider OK
/usr/share/accounts/services/facebook-im.service OK
/usr/share/accounts/services/facebook-microblog.service OK
/usr/share/accounts/services/facebook-sharing.service OK
/usr/share/doc/account-plugin-facebook/changelog.Debian.gz OK
Bom método para detecção de intrusão?
No entanto, eu NÃO vejo isso como um sistema de detecção de invasão de baixo custo. Eu usaria algo como Tripwire ou OSSEC se você for realmente sério em fazer algo assim. Confiar em qualquer um desses tipos de recursos não é exatamente o que eles pretendiam fazer. Em vez disso, são mais para confirmar que nenhuma alteração intencional foi feita no sistema, o que agora resultou na falta de sincronia dos arquivos.
Um aspirante a hacker poderia facilmente "jogar" e alterar o banco de dados em que a soma de verificação dos arquivos é verificada, seja ela armazenada localmente ou on-line em algum lugar.
A detecção de intrusão verdadeira exigiria que o banco de dados de somas de verificação fosse mantido fora da linha e apenas trazido para a mistura quando uma verificação quisesse ser executada, e seria trazida, somente no modo de leitura única!