Hallo,

muss mysql auf einem tcp Port lauschen? Reicht nicht auch ein unix domain socket für strikt lokalen Zugriff?

Wenn du nicht nach roros Vorchlag den SSH Zugang nur für bestimmte IPs freischalten kannst, dann kannst du noch eine dynamische Firewall Strategie einsetzen. Wenn der Rechner feststellt (z.B. durch Beobachten des Logs mittels Skript) dass jemand massiv an der SSH Tür rüttelt, dann diese IP gezielt in der Firewall sperren und alle Verbindungen sofort ablehnen.

Noch eine Möglichkeit, die mir einfällt, sind sogenannte Tarpits. Eine sehr lustige Abwehrmethode, wo man zur Abwechselung mal als Verteidiger die Angreifer richtig geil verarschen kann.

http://de.wikipedia.org/wiki/Tarpit

Gruß,
Cruz