На сервере

1. В /etc/openssh/sshd_config изменить порт на непривилегированный, иначе TOR не запустится непривилегированным же пользователем. Например:

   Port 2222
   

2. Cоздать каталог для скрытого сервиса SSH, где будут лежать файлы с именем хоста и с ключами — своими и авторизованных клиентов:

   # install -m 700 -o _tor -g _tor -d /var/lib/tor/ssh
   

3. В файле настроек TOR (по умолчанию — /etc/tor/torrc, но можно переложить и переименовать):

   • закомментировать опции BridgeRelay, DisableNetwork, NewCircuitPeriod и Sandbox — если не уже, отсутствие же таковых игнорировать;
   • добавить опции:

     ClientOnly        1
     Schedulers        KISTLite
     HiddenServiceDir  /var/lib/tor/ssh    # Порядок этой и cледующей именно таков: не менять.
     HiddenServicePort 2222 127.0.0.1:2222 # Запросы к скрытому порту 2222 слать на локальный 2222.
     

4. Перезапустить оба сервиса:

   # systemctl restart sshd tor
   

5. Получить имя хоста в сети TOR:

   # cat /var/lib/tor/ssh/hostname
   имя_длиной_в_56_буквоцифр.onion
   

На клиенте

1. Запустить хотя бы минимально настроенный TOR:

   # systemctl enable --now tor
   

2. Добавить в ~/.ssh/config секцию:

   Host *.onion
       Port 2222
       VerifyHostKeyDNS no
       ProxyCommand nc -x localhost:9050 -X 5 %h %p
   

3. Пробовать подключиться:

   $ ssh username@имя_длиной_в_56_буквоцифр.onion
   

Штурмуем преграды

Если узел не только за NAT, а ещё и за прокси, запуск на нём TOR через proxychains не позволит достукиваться до него снаружи. Вместо этого следует добавить в настройки TOR'а одну (или все) из опций, позволяющих выход в мир через такой вышестоящий прокси:

HTTPProxy   host[:port] # На эту ругается: дескать, устарела и из новых версий её уберут.
HTTPSProxy  host[:port]
Socks4Proxy host[:port]
Socks5Proxy host[:port]

Если прокси с аутентификацией, понадобятся ещё и эти:

HTTPSProxyAuthenticator username:password
HTTPProxyAuthenticator  username:password
Socks5ProxyUsername     username
Socks5ProxyPassword     password