Właśnie dlatego planuję wymianę routera na Ubi ER-X5 z Debianem mips na pokładzie, a obecny grat pójdzie na szafę jako AP tylko.

Swoją drogą, tak trudno w pliku z nazwą pakietu kilka haszy SHA2 zmieścić?
to można już zrobić automatycznie na etapie budowy paczek,dokładnie tak, jak to robi Debian czy inne deby albo rpmy.
Taki mechanizm bardzo się przydaje, jak do systemu dostanie się backdoor
i ukryje  podmieniając binarkę jakiegoś demona sieciowego.

Parę razy podobne syfy wywalałem z serwerów czy routerów, zapewniam że to bycza zabawa.

Poprawcie mnie jeżeli się myle, ale nie jest tak że przy kompilacji OpenWrt tworzony jest plik "Packages" opisujacy dokladnie kazdy pakiet (razem z SHA2).

Folder z listami kontrolnymi nie musi być w routerze, skoro tam jest mało miejsca.
Jeśli router ma usb (obecnie dosyć powszechne zjawisko), to można do sprawdzania podłączyć pendraka na 5 minut, nie problem.
Albo po SSH wrzuć listy do /tmp/ sprawdzić i je skasować.
Identycznie, jak to poleca manual AIDE do sprawdzania integralności plików na serwerach.
https://aide.github.io/

Także w praktycznie każdym Linuxie nie jest problem "czy się da",
tylko jak to sensownie i optymalnie zrobić.