Подключение через ssh только к уже запущенному приложению и работа с ним.

screen, tmux etc.

Upd. А так, что ты описал - это логика обычного клиент-серверного приложения.

Плюсую. Ответом на заголовок будет «использовать терминальный мультиплексор», но на пост целиком «стой, нет, ничего не трогать и позвать программиста».

к уже запущенному

Запущенному кем? Если системой, то получается, что вам нужен демон с «мордой».

на той машине, с которой он будет коннектится, на машине, где работает они будут не нужны

Заставили меня улыбнутсья. Откуда такая уверенность? ) Расскажите сценарии использования мультиплексоров?

А разьве скрине и тмуксе нельзя просто «прибить» приложение и попасть обратно в шелл?

Можно.

Вопрос в заголовке: «Подключение через ssh только к уже запущенному приложению и работа с ним.»

Вопрос в ОП: «но не совсем понимаю как делать attach\detuch».

Скрин|тмукс как раз подходят.

Заставили меня улыбнутсья. Откуда такая уверенность?

Чтож вы так поспешили отвечать? ;) Я это вычистил из ответа, так как понял, что полностью донести мысль толком не получится: если пользователь сам запускает, то получается он вместо того, чтобы запустить приложение, запускает screen, пусть и с командой. Если это будет shell-ом, то пользователь никак не сможет заранее узнать, запущено или нет, была ли перезагрузка. То есть ему нужен screen там ОТКУДА он запускал последний раз :)

Не подходят. Из них свободно запускается отдельный шелл.

По теме.

Твое приложение должно уметь общаться с юзером. Например, через веб морду, авторизация, выхлоп и команды - через обычный браузер. Далее генеришь ключи для ssh, чтобы входить без пароля, пользователю ставишь в качестве шелла /sbin/nologin, запускаешь ssh c перенаправлением портов, в браузере http://localhost:8080 и попадаешь в свое приложение.

Еще можно прилагу запускать через sudo .

То есть дать ssh доступ юзеру A, который подключается к tmux, там запускает через sudo прогу от юзера B.
Конечно, можно стартануть новую сессию в tmux, но тогда опять же получит шелл от А.
Шелл А можно всячески ограничить, выпилить энторнеты и сделать хомяк R/O.

Проще всего не изобретать велики, а повесить стандартный http сервер, и через него и вебморду рулить всем и вся, через что угодно и откуда угодно. Как сейчас в основном все и делают.

Поднимите «толстый» Docker контейнер с параметром --init, запихните туда SSH сервер и само приложение. Вывесите SSH на отличный от 22 порт, чтобы не конфликтовать с хостом.