MySQLdのネットワークをオンにする必要がありますが、オンにするたびに、サーバーはブルートフォース攻撃で忘却されます。いくつかの意味のあるパスワード推測スクリプトは、サーバーを攻撃し始め、ポート3306で接続を開き、ランダムなパスワードを永久に試します。
どうすればこれを防ぐことができますか?
SSHの場合、私はdenyhostsを使用します。これはうまく機能します。denyhostsをMySQLdで動作させる方法はありますか?
MySQLが実行されているポートを変更することも検討しましたが、これは理想的とは言えず、一時的な解決策にすぎません(新しいポートを発見した場合はどうなりますか?)
他に何かアイデアはありますか?
それが違う場合は、FreeBSD6.xでMySQL5.xを実行しています。
ファイアウォール mysql ポートアウト。しかし、これはサーバー障害領域に属していると思います。
また、MySQL が実行されているポートを変更することも検討しましたが、これは理想的とは言えず、一時しのぎの解決策にすぎません (新しいポートが見つかったらどうなるでしょうか?)
愚かなボットは、あなたのポートに対して常に自分自身を攻撃しているものであり、新しいポートを探しません. 別のポートに移動すると、ランダムなホストをスキャンする侵害されたマシンのインターネット バックグラウンド ノイズではなく、ハッキングしようとしている人々のことだけを心配する必要があります。これは大きな改善です。
少数の特定のマシンのみをデータベースに通す必要がある場合は、データベースのローカル ポートとクライアント マシン間の SSH トンネルを検討できます。公共のインターネットに対してデータベース ポートを本当に開きたいと思うことはほとんどありません。
単一のホストが実行できる失敗した要求の数を制限します。
ポート番号をデフォルト (3306) から別の番号に変更してもセキュリティは改善されませんが、ほとんどの場合 (少なくとも少しは) 役立つと思います。実際に試してみましたか、それとも考慮しただけですか?