MySQLに対するブルートフォース攻撃を防止しますか？

1：ポートを3306から変更します。セキュリティを向上させるためではなく、サーバーの負荷をかけて誤ったログイン攻撃に対処するためです。

2：SSL証明書を作成し、MySQLサーバーで有効にします（とにかくクライアントサーバー接続を暗号化するために必須です）

3：1つ以上のクライアント証明書を作成します（すべてのクライアントが証明書を持っている必要があり、クライアントソフトウェアはそれを使用するように構成する必要があります）。クライアントが。Netの場合、クライアント証明書をpkcs12形式に変換する必要がありますが、これは簡単に実行できます。 this を参照してください。ガイド..

4：MySQLユーザーアカウントをx509クライアント証明書を要求するように設定すると、攻撃者はログイン資格情報とクライアント証明書の両方を必要とします（クライアント証明書にパスワードを設定することもでき、攻撃者もそれを要求する必要があります）。

this ガイドを使用して証明書とキーファイルを作成しましたが、そこには多くのガイドがあります。

クライアントアクセスではなく、管理目的でLinuxボックスにアクセスするためにSSH接続のみを使用することを好みます。

MySQLプロキシを使用すると、ユーザーとパスの組み合わせを取得するが、接続要求が未承認のIP範囲からのものである場合、ログインを処理するためにX秒待機する小さなLUAスクリプトを作成できます。

さらに、LUAスクリプトに少し余分なロジックを追加して、3回失敗した後にIP範囲をブラックリストに登録することもできます。

全体として、技術的には実行可能ですが、SSHまたはVPNを介して一般的なホワイトリストに登録された（FWまたはその他の手段を介して）IP範囲にトンネリングする他の推奨事項を使用します。

この問題の実際の解決策ではありませんが、サーバーを別のポートで実行するだけの場合は役立つ可能性があります。これらのスキャンボットのほとんどは、おそらく3306をチェックするようにプログラムされています。問題は解決しませんが、ポートを変更するだけでスキャン数が大幅に減少する可能性があります。

My.cnf-ini [mysqld]セクションで検討する提案

max_connect_errors=10  # to limit hacker/cracker attempts to guess a password.

90秒で何百回もの試行を回避します。 10回の試行でそれらを切り落とします。

1日に1回、FLUSH HOSTSを検討して、パスワードを思い出せないシステムを使用しようとしている正当な人々を排除してください。たぶん数日で、彼らはそれを手に入れるでしょう。

接続はファイアウォールで保護する必要があると思います。高速で優れています。 iptablesなどのチュートリアルはたくさんあります:)

また、ファイアウォールが既知のホストをブロックするのを防ぐために、サーバー上でsmthを実行するcronjobをクライアントのホストにインストールすることもできます。

トンネルにsshを使用するのが最善ですが、denyhostsの代わりにfail2banを使用することもできます。これは、より多くの異なるアプリケーションを監視することを目的としているため、mysqlログを追加しても問題はないはずです。

安全なホストからのみmysqlポートへのアクセスを許可しないのはなぜですか？

これは「本当の」答えではありませんが、なぜそれを外の世界に直接公開する必要があるのか​​わかりません。

そのボックスでsshを有効にし、トンネリングを使用してdbエンジンにアクセスすることはできませんか？

またはそれにアクセスするための他のVPNソリューション（openvpnが思い浮かびます）。