解决方法
可悲的是,我认为你将会追逐自己的尾巴.套接字由root拥有…因为sshd以root身份运行.在用户进行身份验证之后才建立用户…但由于连接永远不会关闭,因此套接字仍由root拥有.在事实之后尝试在套接字ID和当前用户之间进行某种反向匹配时…我不知道你将如何实现这一目标.我已经看到自定义黑客直接进入openssh src,增加了一定程度的流量计费…但它们是高度版本特定的,我怀疑你会看到有人进入标准存储库.
我发现了事后会计的一个黑客行为的例子.我怀疑它的可靠性和准确性……但它总比没有好.基本上,它依赖于您对用户连接状态的auth.log报告. (即连接/断开连接)和尾部连续运行.不幸的是,tail在更新之间的最小限制为1-2秒……并且在监视auth.log时存在误差. (特别是在对数旋转期间)
http://newspaint.wordpress.com/2011/08/02/ssh-traffic-accounting-on-linux/
