防止对 MySQL 的暴力攻击？

Question

我需要为 MySQLd 打开网络，但每次我这样做时，服务器都会被暴力破解。一些卑鄙的密码猜测脚本开始攻击服务器，在端口 3306 上打开连接并永远尝试随机密码。

我怎样才能阻止这种情况发生？

对于 SSH，我使用 denyhosts，效果很好。有没有办法让 DenyHosts 与 MySQLd 一起工作？

我也考虑过更改 MySQL 运行的端口，但这不太理想，只是一个权宜之计（如果他们发现新端口怎么办？）

还有人有其他想法吗？

如果有什么不同，我在 FreeBSD 6.x 上运行 MySQL 5.x。

Answer 1

防火墙 mysql 端口出局。但我相信这属于服务器故障领域。

Answer 2

我还考虑过更改 MySQL 运行的端口，但这不太理想，只是权宜之计（如果他们发现新端口怎么办？）

愚蠢的机器人是那些不断攻击你的端口的机器人他们不寻找新的港口。转移到不同的端口，您现在只需担心试图攻击您的人，而不用担心受感染机器扫描随机主机的互联网背景噪音。这是一个很大的进步。

如果您只需要让少数特定计算机连接到您的数据库，您可以考虑在数据库本地端口和客户端计算机之间建立 SSH 隧道。您真正想要向公共互联网开放数据库端口的情况相当罕见。

Answer 3

限制单个主机可以发出的不成功请求的数量。

Answer 4

我相信将端口号从默认端口号 (3306) 更改为其他端口号不会提高安全性，但在大多数情况下会有所帮助（至少有一点）。您在实践中尝试过还是只是考虑过？