No creo que te estés perdiendo algo simple. El servidor en cuestión puede conectarse a la base de datos sin su ayuda, en cuyo caso tiene tener las credenciales; o no puede conectarse sin que usted los suministre. Puede tomar varios pasos como los que ha enumerado para hacerlo más difícil para que un servidor comprometido revele las credenciales a la base de datos, pero al final del día, si tiene que tener esas credenciales y proporcionarlas al servidor de base de datos para conectarse, tendrán que almacenarse en algún lugar, o en al menos, tendrá que tener algún medio para obtenerlos, y por lo tanto será pirateable en ese sentido.
Lo mejor que puedes hacer es concentrarte en descubrir intrusiones (servidores comprometidos) lo más rápido posible, mantener buenas copias de seguridad fuera del sitio y fuera de línea para el peor de los casos, poner muchas barreras a la intrusión en primer lugar, etc.
