Sommario
Il mondo Linux vive due sviluppi di rilievo: da un lato Kali Linux annuncia una ristrutturazione completa del processo di creazione delle immagini Vagrant, abbandonando Packer in favore di DebOS; dall’altro, Arch Linux si trova a fronteggiare un attacco DoS che ha messo fuori uso per ore i principali servizi online, dall’AUR al forum ufficiale. Due eventi distinti che, pur muovendosi su binari diversi, mostrano come gli ecosistemi Linux si trovino costantemente a bilanciare innovazione e resilienza.
Ristrutturazione immagini Vagrant in Kali
Il team di Kali Linux ha confermato il passaggio dalle vecchie build basate su Packer al sistema DebOS, già utilizzato da tempo per la generazione delle VM Kali. Questa decisione consente di unificare il workflow di creazione, semplificando la gestione delle immagini e soprattutto risolvendo uno dei principali limiti di Packer: la necessità di avere un hypervisor installato sull’host. Con DebOS, invece, diventa possibile realizzare build cross-platform senza vincoli, ad esempio generare VM Hyper-V direttamente da un host Linux. Il repository Git legato al progetto è stato rinominato in kali-packer, ma gli script Packer rimarranno disponibili per compatibilità legacy, anche se il team ne ha annunciato l’abbandono graduale. Tra le migliorie tecniche spicca la gestione ottimizzata per Hyper-V su Windows, con la rimozione di file binari inutili (vmcx, vmrs, xml) che creavano problemi di export. Questo cambiamento richiede però l’uso di Vagrant 2.4.8 o superiore, pena il fallimento della creazione delle box Kali 2025.2. Il nuovo sistema mantiene piena compatibilità con i principali provider supportati: Hyper-V, Libvirt, VirtualBox e VMware. Gli utenti possono scegliere il provider al momento dell’aggiunta della box tramite vagrant box add kalilinux/rolling. Una volta configurato, il processo standard prevede la creazione di una directory dedicata, l’inizializzazione del Vagrantfile e l’avvio della VM con vagrant up. L’accesso avviene tramite SSH con credenziali predefinite (“vagrant” per utente e password), a conferma dell’attenzione al testing e alla rapidità di deploy. Il team ha introdotto inoltre ottimizzazioni legate alla sicurezza, come la possibilità di disabilitare la creazione di symlink in VirtualBox per ridurre i rischi in scenari con guest non fidati. Problemi noti riguardano invece i mismatch delle Guest Additions, risolvibili aggiornando le versioni tra host e VM. Il progetto resta attivamente seguito su GitLab, dove gli utenti possono segnalare issue o contribuire con patch.
Provider supportati e configurazione
Il nuovo approccio semplifica la vita agli utenti di Kali, che ora dispongono di un sistema più coerente per tutte le piattaforme. Hyper-V garantisce un’integrazione ottimale con Windows, Libvirt offre performance accelerate su host Linux, VirtualBox resta la scelta cross-platform più semplice e VMware è l’opzione avanzata per professionisti. La configurazione avviene attraverso il Vagrantfile, con possibilità di personalizzare risorse come CPU, RAM e storage. Gli script post-install come setup-vagrant.sh gestiscono automaticamente tweak per l’ambiente, abilitano sudo senza password, installano tool essenziali e configurano parametri di rete e timezone. Anche in scenari airgap, l’approccio è stato reso più robusto: è possibile scaricare le box in anticipo e aggiungerle manualmente, rendendo più sicuro il deploy in reti isolate. L’adozione di DebOS si inserisce così in una strategia che privilegia la consistenza, la modularità e la sicurezza, ponendo Kali Linux come punto di riferimento per chi utilizza Vagrant in ambito di pentesting e ricerca.
Interruzioni servizi in Arch Linux
Sul fronte opposto, Arch Linux ha dovuto fare i conti con un attacco DoS che ha reso inaccessibili per ore il sito principale, l’AUR (Arch User Repository) e i forum ufficiali. L’interruzione ha avuto un forte impatto sulla comunità, dato che Arch si basa su una rolling release che richiede aggiornamenti costanti e un accesso regolare alle risorse online. Il team ha comunicato tempestivamente tramite la status page dedicata e sui canali social, confermando la collaborazione con i provider di hosting per mitigare l’attacco. Sono stati valutati sistemi di protezione DDoS, ma la scelta non è semplice: entrano in gioco fattori di costo, sostenibilità e compatibilità con l’etica open source del progetto, che si fonda sul lavoro volontario e su donazioni della community. Nonostante il downtime, la struttura decentralizzata dell’ecosistema Arch ha garantito che gli aggiornamenti di sistema non venissero interrotti: i mirror di pacman hanno continuato a funzionare regolarmente, permettendo agli utenti di scaricare pacchetti senza problemi. Le immagini ISO sono rimaste disponibili tramite geomirrors, con verifica integrità tramite chiavi GPG (es. 0x54449A5C). Per sopperire all’assenza dell’AUR, molti utenti hanno sfruttato i mirror GitHub, clonando direttamente i repository dei pacchetti tramite comandi git.
Workaround e misure di resilienza
L’attacco DoS ha messo in evidenza i limiti di un progetto open source che, pur essendo robusto dal punto di vista tecnico, rimane vulnerabile agli overload di traffico. La comunità ha reagito rapidamente, applicando workaround consolidati: uso di pacman-mirrorlist aggiornati con Reflector, verifica delle firme GPG delle ISO e sfruttamento dei repository GitHub come backup per i pacchetti AUR. Arch Linux, grazie alla sua natura distribuita, ha dimostrato un’elevata resilienza. Tuttavia, l’episodio ha riaperto il dibattito interno sulla necessità di adottare protezioni professionali contro i DDoS, magari ricorrendo a provider come Cloudflare. La scelta, però, non è priva di criticità: oltre al tema dei costi, c’è anche la questione della privacy e della filosofia del progetto, che storicamente evita soluzioni che possano compromettere la trasparenza e la decentralizzazione. Un aspetto positivo dell’outage è stata la risposta della community: gli utenti hanno condiviso workaround, mantenuto aggiornate le guide sul wiki e segnalato tempestivamente i problemi, rafforzando ancora una volta lo spirito collaborativo che anima il progetto.
