Idealmente, para segurança máxima, você deseja várias camadas.
Isso inclui coisas como um firewall para bloquear todo o acesso a portas em rede (o shorewall é bastante fácil de configurar), bem como o uso de tcpwrappers (hosts.allow / hosts.deny) para restringir o acesso a vários daemons.
Se o servidor de banco de dados estiver recebendo apenas conexões de um determinado servidor (com um IP estático), esse IP também poderá ser usado em conjunto com as configurações de firewall padrão, tcwrapper & Métodos de autenticação mysql para restringir adicionalmente o acesso a apenas esse servidor.