>Интересная мысль, но нуждается в доработке.

замени контрольные суммы и сделай пакость админу :)
>Контрольные суммы можно хранить на файловой системе, смонтированной Read-Only, но тут динамического

>обновления сумм ждать не призодится.

а не проще ли хранить тогда сами бинарники на ro системе?! Для обновления mount -u -o rw, останавливаем систему и вновь откатываемся на ro ?!

>Контрольные суммы должны подписываться электронной подписью с асиметричным ключом. Ежели динамического обновления
>не нужно, то закрытая часть ключа на машине может не присутствовать.
>А любой дистрибутив программы должен содержать контрольные суммы исполняемых файлов, т.е.
>д.б. подписан производителем.
>
>В конечном счёте можно встроить такие контрольные суммы прямо в формат исполняемого
>файла (со скриптами сложнее).

Напридумывать можно все что угодно, лучше бы разобрались с тем буреломом, который уже нарубили (это я про БЗДишников)