Процессы в cgroups должны быть установлены каждая начальная загрузка? Если так, как сохранить их?
Если Вы просто хотите получить число и не нуждаетесь ни в каких деталях, можно считать данные с /proc/net/sockstat{,6}. Следует иметь в виду, что необходимо объединить оба значения для получения абсолютного количества соединений.
Если Вы хотите получить информацию от самого ядра, можно использовать NETLINK_INET_DIAG получить информацию от ядра, не имея необходимость читать его из /proc
Самый простой способ - использовать systemd, который в любом случае может отвечать за ваш sshd (в зависимости от дистрибутива). Вы можете легко настроить ограничения в файле блока sshd. systemd в любом случае помещает все службы в отдельные cgroups.
Без systemd самым простым решением, вероятно, будет изменение стартового скрипта sshd (обратите внимание, чтобы он не был перезаписан обновлением; возможно, будет хорошей идеей скопировать его под другим именем и отключить оригинальный скрипт).