[ml] blindatura del mysql

Salve a tutti,

La situazione:

ho una applicazione Java che da remoto , tramite JDBC, accede ad un  
database mysql (4.x).
Accade che un cliente deve mettere su internet questa macchina e  
l'applicazione Java spotrà essere usata da un certo numero di utenti  
dei quali sarà impossibile a priori determinare l'indirizzo IP.
Si presume che l'URL della macchina sarà piuttosto popolare, a  
prescindere dal servizio che offrirà con l'applicazione di cui sto  
parlando.
Per qualche motivo  su quella macchina non è consentito l'accesso  
remoto via ssh neanche agli amministratori del sistema.

I dubbi:
quanto è sicuro il mysqld esposto al pubblico??
ovviamente non vorrei lasciare la porta mysql spalancata, sicuramente  
come minimo sposterò il servizio su una porta anonima;
Non mi sembra che possa attivare autonomamente delle sessioni  
crittografate, quindi
mi piacerebbe incapsularlo in un tunnel ssh, ma se il cliente non  
vuole consentire l'accesso ssh, il demone sshd potrebbe essere  
configurato per accettare il tunnel e rifiutare l'accesso "normale"?
Ci sono delle alternative per aumentare la sicurezza del servizio  
mysqld?
Oppure è abbastanza robusto da poter essere lasciato esposto?

Grazie,

RIc