En vous basant sur les informations de base générées après l'installation (c'est-à-dire l'instantané décrit dans Section 4.19, « Prendre un instantané («snapshot») du système »), vous pourriez effectuez un test d'intégrité de temps en temps. Un test d'intégrité pourra détecter des modifications du système de fichiers réalisées par un intrus ou dues à une erreur de l'administrateur système.

Les tests d'intégrité devraient, si possible, être réalisés non connectés.^[73] C'est-à-dire, sans utiliser le système d'exploitation du système à contrôler, pour éviter un sentiment de sécurité erroné (c'est-à-dire des faux négatifs) produit, par exemple, par des rootkits installés. La base de données d'intégrité par rapport à laquelle le système est vérifiée devrait également être utilisée depuis un support en lecture seule.

Vous pouvez envisager de faire des vérifications d'intégrité en ligne en utilisant l'un des outils d'intégrité de système de fichiers disponibles (décrits dans Section 4.17.3, « Vérifier l'intégrité des systèmes de fichiers ») s'il n'est pas possible de déconnecter le système. Cependant, des précautions devraient être prises pour utiliser une base de données d'intégrité en lecture seule et également pour assurer que les outils de vérification d'intégrité (et le noyau du système d'exploitation) n'ont pas été falsifiés.

Certains des outils mentionnés dans la section des outils d'intégrité, comme aide, integrit ou samhain, sont déjà préparés pour faire des vérifications périodiques (en utilisant la crontab dans les deux premiers cas et en utilisant un démon indépendant pour samhain) et ils peuvent avertir l'administrateur par différents moyens (habituellement par courriel, mais samhain peut également envoyer des pages, des alertes SNMP ou des alertes syslog) quand le système de fichiers est modifié.

Bien sûr, si vous exécutez une mise à jour de sécurité du système, l'instantané pris pour le système devrait être régénéré pour prendre en compte les modifications réalisées par la mise à jour de sécurité.