Est-ce que n'importe quel serveur ssh FOSS peut appliquer des contrôles de validité pendant la durée de vie d'une connexion ?

À ma connaissance, l'authentification est un gardien, vos informations d'identification ne sont validées qu'à l'entrée et votre environnement résultant est mis en cache et reste valide tant que votre session reste valide.
Les modules PAM ne nécessitent pas non plus de revalidation pendant une session.

Vous aurez besoin de terminer activement les processus appartenant à un utilisateur spécifique avec par exemple pkill -9 -U UID après avoir révoqué leur compte.

Il n'y a aucun moyen de faire cela à partir de la boîte. La solution la plus simple est celle suggérée par HBruijn.

Cependant, si vous avez quelque chose comme une authentification centralisée, cela pourrait bien sûr ne pas fonctionner, car l'utilisateur ne serait pas local et le meurtre devrait être distribué.

J'utiliserais pam_exec sur la session PAM et je ferais tourner une tâche en arrière-plan pour effectuer la vérification et la mise à mort.

session optional pam_exec.so quiet /usr/local/bin/my-permisions-checking-binary .