防止对MySQL的暴力攻击？

Question

我需要为MySQLd打开网络，但每次我这样做时，服务器都会被无情地遗忘。一些恶意的密码猜测脚本开始在服务器上敲打，在端口3306上打开连接，并永远尝试随机密码。

我如何才能阻止这种情况的发生？

对于SSH，我使用denyhosts，它工作得很好。有没有一种方法可以让denyhosts与MySQLd协同工作？

我还考虑过更改运行MySQL的端口，但这并不理想，而且只是权宜之计(如果他们发现了新的端口怎么办？)

还有没有别的主意？

如果不同，我在FreeBSD 6.x上运行MySQL 5.x。

Answer 1

防火墙mysql端口输出。但我相信这属于serverfault域。

Answer 2

我也考虑过更改运行MySQL的端口，但这并不理想，而且只是权宜之计(如果他们发现了新的端口怎么办？)

愚蠢的机器人是那些不断攻击你的端口的机器人，它们不寻找新的端口。移动到不同的端口，你现在只需要担心有人试图攻击你，而不是担心被攻陷的机器扫描随机主机的互联网背景噪音。这是一个很大的进步。

如果只需要让几台特定的机器连接到数据库，那么可以考虑在数据库的本地端口和客户端机器之间建立SSH隧道。你真的想开放一个数据库端口到公共互联网是相当罕见的。

Answer 3

限制单个主机可以发出的不成功请求的数量。