Auf der WWDC 2025 hat Apple mit macOS “Sequoia” 15 eine eigene Containerisierungsplattform vorgestellt, die es erstmals ermöglicht, Linux-Distributionen nativ in isolierten Micro-VMs auf Apple-Silicon-Geräten zu starten. Security-Profis und Pentester können damit Kali Linux ohne Third-Party-Tools wie Docker Desktop oder Parallels direkt unter macOS betreiben.
Der neue „Container“-CLI
Das Herzstück bildet das Kommandozeilenwerkzeug container, das Nutzer über Homebrew installieren:
brew install --cask container container system start Hinter dem CLI steht das Swift-basierte Containerization Framework, das über Apples Virtualization.framework pro Container eine eigene VM via Hypervisor.framework startet. Dieses Design liefert eine stärkere Isolation als klassische Docker-Instanzen, da jede Container-VM ihren eigenen Kernel nutzt und so lateral Movement verhindert.
Kali Linux in Aktion
Ist der Container-Dienst aktiv, lässt sich Kali Linux in einem Rutsch aus dem offiziellen DockerHub starten:
container run --rm -it kalilinux/kali-rolling Ein zusätzliches --volume-Flag ermöglicht das Einbinden lokaler Verzeichnisse:
container run --rm -it \ --volume $(pwd):/mnt \ --workdir /mnt \ docker.io/kalilinux/kali-rolling:latest So können Pentester Werkzeuge, Skripte und Logs unmittelbar im Arbeitsverzeichnis des Hosts nutzen, ohne auf herkömmliche VM-Freigaben zurückgreifen zu müssen.
Leistung und Sicherheit
Dank der Micro-VM-Architektur starten Container in der Regel unter einer Sekunde und bieten nahezu native I/O-Leistung. Gleichzeitig erhöht sich die Sicherheit, da jede Kali-Instanz vollständig in ihrer eigenen VM isoliert läuft und keine gemeinsamen Kernel-Surfaces mehr existieren.
Bekannte Einschränkungen
- Nur Apple Silicon: Intel-basierte Macs werden nicht unterstützt.
- Netzwerkprobleme: In der Erstversion kann es vorkommen, dass Container keine IP-Adresse erhalten oder keine Netzwerkverbindung aufgebaut werden kann.
- Kein Hardware-Passthrough: Tools und Szenarien, die direkten Zugriff auf physische Geräte erfordern (z. B. USB-Kartenleser, spezielle Wi-Fi-Adapter), sind nicht möglich.
Wie das Kali-Team in seinem Blog betont, sollten Anwender bei Netzwerkanomalien Apples Dokumentation konsultieren und auf macOS-Updates warten, die diese Probleme adressieren.
Blick nach vorn
Mit der Containerisierung schließt Apple zu Microsofts WSL2 auf und bietet erstmals Security-Experten eine in macOS integrierte, leichtgewichtige Alternative zu etablierten VM-Lösungen. Für das kommende macOS „Tahoe“ 26 ist eine engere Integration geplant, bei der Docker Desktop ganz entfällt und container als Standardtool fungiert.
Letzte Aktualisierung am 1.09.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Quellen
- Bleeping Computer: Kali Linux can now run in Apple containers on macOS systems
- Kali Linux Blog: Kali Linux & Containerization (Apple’s Container)
Über den Autor
