检验文件属性是否发生变化是验证文件系统完整性最直接，最简单的方法。最直观的方法就是比较入侵系统的文件大小和正常系统相对应的文件的大小是否一致，但是这种方法比较麻烦，效率也不高。这里介绍借助linux系统中的rpm工具来检验文件系统的方法：

比如这里以检验有关ssh的系统文件是否有被篡改，第一步先查询和ssh相关联的rpm包：

 rpm –qa|grep ssh

然后根据检查出来的关联rpm包用以下命令来检验其完整性：

rpm  –Va openssh* 以及rpm –Va libssh2来检验

这里校验失败才会有内容输出：

S 代表文件大小改变

5 代表md5校验和改变，说明文件内容被修改了

T 代表修改时间发生了变化

其他本例没有显示的关键字还有：

L 代表链接改变

D 代表设备改变

U 代表文件属主改变

G 代表文件属组改变

M 代表文件的访问权限或文件类型发生了改变

如果在检验中有出现M的话，建议卸载这个RPM包再重新安装，因为对应的文件可能已经遭到篡改或者被替换了。不过这个命令也有一些局限性，不能检验其他非RPM安装的文件，如果RPM工具也被入侵者替换就不能正常使用了，此时需要从其他正常机器中进行拷贝一个RPM工具来检测。