Auf der WWDC 2025 hat Apple mit macOS “Sequoia” 15 eine eigene Containerisierungsplattform vorgestellt, die es erstmals ermöglicht, Linux-Distributionen nativ in isolierten Micro-VMs auf Apple-Silicon-Geräten zu starten. Security-Profis und Pentester können damit Kali Linux ohne Third-Party-Tools wie Docker Desktop oder Parallels direkt unter macOS betreiben.
Der neue „Container“-CLI
Das Herzstück bildet das Kommandozeilenwerkzeug container, das Nutzer über Homebrew installieren:
brew install --cask container container system start Hinter dem CLI steht das Swift-basierte Containerization Framework, das über Apples Virtualization.framework pro Container eine eigene VM via Hypervisor.framework startet. Dieses Design liefert eine stärkere Isolation als klassische Docker-Instanzen, da jede Container-VM ihren eigenen Kernel nutzt und so lateral Movement verhindert.
Kali Linux in Aktion
Ist der Container-Dienst aktiv, lässt sich Kali Linux in einem Rutsch aus dem offiziellen DockerHub starten:
container run --rm -it kalilinux/kali-rolling Ein zusätzliches --volume-Flag ermöglicht das Einbinden lokaler Verzeichnisse:
container run --rm -it \ --volume $(pwd):/mnt \ --workdir /mnt \ docker.io/kalilinux/kali-rolling:latest So können Pentester Werkzeuge, Skripte und Logs unmittelbar im Arbeitsverzeichnis des Hosts nutzen, ohne auf herkömmliche VM-Freigaben zurückgreifen zu müssen.
Leistung und Sicherheit
Dank der Micro-VM-Architektur starten Container in der Regel unter einer Sekunde und bieten nahezu native I/O-Leistung. Gleichzeitig erhöht sich die Sicherheit, da jede Kali-Instanz vollständig in ihrer eigenen VM isoliert läuft und keine gemeinsamen Kernel-Surfaces mehr existieren.
Bekannte Einschränkungen
- Nur Apple Silicon: Intel-basierte Macs werden nicht unterstützt.
- Netzwerkprobleme: In der Erstversion kann es vorkommen, dass Container keine IP-Adresse erhalten oder keine Netzwerkverbindung aufgebaut werden kann.
- Kein Hardware-Passthrough: Tools und Szenarien, die direkten Zugriff auf physische Geräte erfordern (z. B. USB-Kartenleser, spezielle Wi-Fi-Adapter), sind nicht möglich.
Wie das Kali-Team in seinem Blog betont, sollten Anwender bei Netzwerkanomalien Apples Dokumentation konsultieren und auf macOS-Updates warten, die diese Probleme adressieren.
Blick nach vorn
Mit der Containerisierung schließt Apple zu Microsofts WSL2 auf und bietet erstmals Security-Experten eine in macOS integrierte, leichtgewichtige Alternative zu etablierten VM-Lösungen. Für das kommende macOS „Tahoe“ 26 ist eine engere Integration geplant, bei der Docker Desktop ganz entfällt und container als Standardtool fungiert.
Quellen
- Bleeping Computer: Kali Linux can now run in Apple containers on macOS systems
- Kali Linux Blog: Kali Linux & Containerization (Apple’s Container)
About the Author
