Рекомендованный способ создания ssh-туннеля для доступа к mysql-серверу под убунтой выглядит так:
useradd -g ssh -M -N -s /usr/sbin/nologin mysqltunneller
passwd mysqltunneller
Как это сделать по ключу, я не рассматриваю, к рассматриваемому вопросу это не относится.
В /etc/ssh/sshd_config :
Match User mysqltunneller
PermitOpen localhost:3306
AllowAgentForwarding no
Ну, еще в конфиге mysql ограничиваем соответственно доступ – …