Ограничение количества подключенных по ssh пользователей

[censor]

man iptables/gid

Код: [Выделить]

   owner
       This module attempts to match various characteristics of the packet creator, for locally generated packets. This match is only valid in the OUTPUT
       and  POSTROUTING  chains. Forwarded packets do not have any socket associated with them. Packets from kernel threads do have a socket, but usually
       no owner.

       [!] --uid-owner username

       [!] --uid-owner userid[-userid]
              Matches if the packet socket's file structure (if it has one) is owned by the given user. You may also specify a numerical UID, or  an  UID
              range.

       [!] --gid-owner groupname

       [!] --gid-owner groupid[-groupid]
              Matches if the packet socket's file structure is owned by the given group.  You may also specify a numerical GID, or a GID range.

       [!] --socket-exists
              Matches if the packet is associated with a socket.
для INPUT не применяется.
Пользователь решил продолжить мысль 27 Марта 2011, 18:39:38:

Хм... Через iptables... Не плохо - не подумал об этом. Но ведь тогда будет только 1 пользователь по ssh. А можно в iptables чтобы один пользователь определённой группы? А то если пользователь работает, а админу нужно подключиться к серверу - ему что, отлуп будет выдаваться?

для админа поставь статический IP и пропиши правило предшествующее блокировке по лимиту которое разрешало бы соединение.

[AnrDaemon]

для админа поставь статический IP и пропиши правило предшествующее блокировке по лимиту которое разрешало бы соединение.

Ну и что помешает админу запустить консоль железки одновременно с пользователем?
Заканчивайте гланды анально лечить.

[censor]

Ну и что помешает админу запустить консоль железки одновременно с пользователем?
Заканчивайте гланды анально лечить.

может быть отсутствие физического доступа?

[AnrDaemon]

может быть

А может не быть? Так и будем играть в угадайку?

[censor]

в любом случае пусть скрипт или программа создает pid файл и чекает его при каждой попытке запуска.
афтор херней занимается с этим я согласен.

[AnrDaemon]

pid файл за лок не сработает - слишком много дополнительных проверок нужно делать, чтобы убедиться, что это действительно PID от другой копии запущенной программы, что она работает, а не повисла, что... в общем, не для этого пид предназначен.
arcfi правильно первый раз сказал, flock, только потом чего-то начал мудрить с pgrep.

[komarov.yura]

Ребята, спасибо за посты\критику. Было принято решение организовать все это в качестве web приложения.