Raspi-Problem: Trotz korrekter Einrichtung habe ich via FTP keine Schreibrechte auf dem Raspi 400 – woran liegt das?

Kennen Sie das Gefühl? Sie haben Stunden damit verbracht, Ihren brandneuen Raspberry Pi 400 einzurichten. Alles läuft wie am Schnürchen, das Betriebssystem ist installiert, der FTP-Server läuft, und Sie können sich sogar einloggen. Doch dann der Schock: Sie versuchen, eine Datei hochzuladen, und der FTP-Client meldet lapidar: „Zugriff verweigert” oder „Schreibfehler”. Frustrierend! Besonders, wenn man der festen Überzeugung ist, alles „korrekt” eingerichtet zu haben. Herzlich willkommen im Club der „keine-FTP-Schreibrechte“-Geplagten. Doch keine Sorge, Sie sind nicht allein, und dieses Problem lässt sich in den meisten Fällen mit den richtigen Schritten beheben. Tauchen wir gemeinsam in die Tiefen des Dateisystems und der Konfiguration ein, um Ihr Raspberry Pi wieder zum Schreiben zu bringen.

Die Ursachen für fehlende Schreibrechte sind vielfältig, aber meistens liegen sie in einem von drei Bereichen: den Linux-Dateiberechtigungen, der FTP-Server-Konfiguration selbst oder einer Kombination aus beidem. Oftmals sind es kleine Details, die über Erfolg oder Misserfolg entscheiden. Unser Ziel ist es, diese Details zu identifizieren und zu beheben.

Die Grundlagen verstehen: FTP, Linux-Dateisystem & Berechtigungen

Bevor wir uns auf die Fehlersuche begeben, ist es wichtig, die beteiligten Komponenten kurz zu rekapitulieren. FTP (File Transfer Protocol) ist ein Standardprotokoll zum Übertragen von Dateien zwischen einem Client und einem Server. Auf Ihrem Raspberry Pi läuft ein FTP-Server (sehr oft vsftpd – „very secure FTP daemon”), der auf eingehende Verbindungen wartet. Wenn Sie sich verbinden, agiert der FTP-Server im Namen eines bestimmten Systembenutzers auf Ihrem Raspberry Pi. Dieser Benutzer unterliegt wiederum den Linux-Dateiberechtigungen, die festlegen, wer (Besitzer, Gruppe, Andere) welche Aktionen (Lesen, Schreiben, Ausführen) auf Dateien und Verzeichnissen durchführen darf. Hier liegt oft der Hase im Pfeffer.

Häufigste Fehlerquellen und deren Behebung

Lassen Sie uns die gängigsten Problemquellen systematisch durchgehen. Nehmen Sie sich Zeit für jeden Punkt und überprüfen Sie Ihre Konfiguration sorgfältig.

1. Die magische Welt der Linux-Dateiberechtigungen (chmod & chown)

Dies ist die absolute Nummer eins unter den Übeltätern. Selbst wenn der FTP-Server korrekt konfiguriert ist, kann er nichts schreiben, wenn der zugrundeliegende Linux-Benutzer keine entsprechenden Rechte hat. Jede Datei und jedes Verzeichnis in Linux hat einen Besitzer, eine Gruppe und Berechtigungen für diese beiden sowie für „Andere”.

• Eigentümer, Gruppe, Andere:
  • Eigentümer (User): Der Benutzer, dem die Datei oder das Verzeichnis gehört.
  • Gruppe (Group): Eine Gruppe von Benutzern, die spezifische Berechtigungen für die Datei oder das Verzeichnis haben können.
  • Andere (Others): Alle anderen Benutzer auf dem System.
• Berechtigungen:
  • Lesen (Read, r): Dateien können gelesen, Verzeichnisinhalte aufgelistet werden.
  • Schreiben (Write, w): Dateien können geändert/gelöscht, neue Dateien in Verzeichnisse geschrieben werden.
  • Ausführen (Execute, x): Dateien können als Programme ausgeführt, Verzeichnisse durchsucht werden.

Sie können die aktuellen Berechtigungen mit dem Befehl ls -l im Terminal anzeigen lassen. Beispiel:

ls -l /var/www/html
drwxr-xr-x 2 pi pi 4096 Jan 1 2023 html

Hier bedeutet drwxr-xr-x: d für Verzeichnis, dann `rwx` für den Besitzer (pi), `rx` für die Gruppe (pi) und `rx` für Andere.

Was tun?

Nehmen wir an, Ihr FTP-Benutzer ist ftpuser und Sie möchten in das Verzeichnis /var/www/html schreiben.

1. Besitz ändern (chown): Stellen Sie sicher, dass der FTP-Benutzer oder eine Gruppe, der er angehört, der Besitzer des Zielverzeichnisses ist.

sudo chown ftpuser:ftpuser /var/www/html

Dies ändert den Besitzer und die Gruppe des Verzeichnisses /var/www/html auf ftpuser. Wenn Ihr FTP-Benutzer eine andere Gruppe verwenden soll (z.B. www-data, wenn es sich um Web-Inhalte handelt), passen Sie dies entsprechend an.

2. Berechtigungen ändern (chmod): Geben Sie dem Besitzer und/oder der Gruppe Schreibrechte. Für Verzeichnisse sind `x` (Ausführen) und für Dateien `r` (Lesen) fast immer notwendig. Für das Schreiben in ein Verzeichnis ist `w` (Schreiben) unerlässlich. Für Dateien benötigen Sie ebenfalls `w`, um sie zu ändern.

   sudo chmod 775 /var/www/html

   775 bedeutet (in oktaler Darstellung):

   • 7 (rwx) für den Besitzer (ftpuser)
   • 7 (rwx) für die Gruppe (ftpuser)
   • 5 (r-x) für Andere

   Mit 775 hat sowohl der Besitzer als auch die Gruppe Schreibrechte. Das ist oft eine gute Balance zwischen Sicherheit und Funktionalität. Vermeiden Sie chmod 777, da dies jedem auf dem System volle Schreibrechte gibt und ein erhebliches Sicherheitsrisiko darstellt!

   Um die Rechte rekursiv für alle Unterverzeichnisse und Dateien zu ändern (Vorsicht!), können Sie den -R Parameter verwenden:

   sudo chown -R ftpuser:ftpuser /var/www/html
   sudo chmod -R 775 /var/www/html

   Für neue Dateien, die in diesem Verzeichnis erstellt werden, können Sie die Standardberechtigungen mit umask oder der Sticky-Bit-Einstellung des Verzeichnisses beeinflussen, aber das geht über die primäre Fehlersuche hinaus.

2. Die Konfiguration des FTP-Servers (vsftpd als Beispiel)

Die vsftpd.conf-Datei (typischerweise unter /etc/vsftpd.conf) enthält alle Einstellungen für Ihren FTP-Server. Einige Schlüsselwerte müssen korrekt gesetzt sein, damit Schreibvorgänge erlaubt sind.

Öffnen Sie die Konfigurationsdatei mit einem Editor wie nano:

sudo nano /etc/vsftpd.conf

Suchen Sie nach den folgenden Zeilen und stellen Sie sicher, dass sie korrekt gesetzt sind (entfernen Sie das # am Anfang, um sie zu aktivieren):

• write_enable=YES: Diese Zeile ist absolut entscheidend. Wenn sie auskommentiert oder auf NO gesetzt ist, sind keine Schreibvorgänge erlaubt, egal wie Ihre Dateiberechtigungen aussehen.
• local_enable=YES: Erlaubt lokalen Benutzern (also den Benutzern Ihres Raspberry Pi-Systems) sich anzumelden. Dies ist fast immer gewünscht.
• chroot_local_user=YES: Wenn diese Option aktiviert ist, wird der Benutzer in sein Home-Verzeichnis „eingesperrt” und kann nicht darüber hinaus navigieren. Dies erhöht die Sicherheit. Wenn Sie jedoch in ein anderes Verzeichnis außerhalb des Home-Verzeichnisses schreiben möchten, kann dies zu Problemen führen, wenn die Berechtigungen dort nicht stimmen oder das Verzeichnis nicht als expliziter Pfad für chroot freigegeben ist.
• allow_writeable_chroot=YES: Wenn chroot_local_user=YES aktiviert ist, und das Home-Verzeichnis des Benutzers (oder das Chroot-Verzeichnis) auch vom Benutzer beschreibbar sein soll, benötigen Sie diese Option (neuere vsftpd-Versionen machen das zur Pflicht). Wenn Sie diese Option nicht setzen, erhalten Sie möglicherweise Fehlermeldungen wie „500 OOPS: vsftpd: refusing to run with writable root inside chroot()”. Es ist oft sicherer, das Chroot-Verzeichnis selbst *nicht* beschreibbar zu machen, sondern ein Unterverzeichnis darin für Schreibzugriffe freizugeben. Oder Sie deaktivieren chroot_local_user, was aber weniger sicher ist.
• pasv_enable=YES, pasv_min_port=40000, pasv_max_port=40000: Obwohl nicht direkt mit Schreibrechten verbunden, können Probleme im passiven Modus (PASV) zu generellen Übertragungsproblemen führen, die sich wie fehlende Schreibrechte anfühlen können, da der Übertragungskanal nicht etabliert wird. Passiver Modus ist heute Standard. Die Ports können Sie anpassen, wenn Sie eine Firewall haben, die diese Ports freigeben muss.

Nach jeder Änderung an der vsftpd.conf-Datei müssen Sie den vsftpd-Dienst neu starten, damit die Änderungen wirksam werden:

sudo systemctl restart vsftpd

Überprüfen Sie den Status des Dienstes, um sicherzustellen, dass er ohne Fehler gestartet wurde:

sudo systemctl status vsftpd

3. Der FTP-Benutzer und seine Rechte

Der Benutzer, mit dem Sie sich via FTP anmelden, muss auf dem Raspberry Pi existieren und darf nicht explizit vom FTP-Zugriff ausgeschlossen sein.

• Benutzer vorhanden? Stellen Sie sicher, dass der Benutzer, mit dem Sie sich anmelden, auf Ihrem Raspi existiert. Sie können dies mit id ftpuser überprüfen (ersetzen Sie ftpuser durch Ihren Benutzernamen).
• Ausschlusslisten: Die Dateien /etc/ftpusers und /etc/vsftpd.userlist (wenn userlist_enable=YES und userlist_deny=YES in vsftpd.conf gesetzt sind) listen Benutzer auf, die keinen bzw. nur eingeschränkten FTP-Zugriff haben. Überprüfen Sie, ob Ihr Benutzer dort fälschlicherweise aufgeführt ist.
• Standard-Shell: In einigen Fällen kann es helfen, die Standard-Shell des FTP-Benutzers auf /sbin/nologin zu setzen. Das verhindert einen direkten SSH-Login, aber der FTP-Zugang funktioniert trotzdem.

sudo usermod -s /sbin/nologin ftpuser

4. Stolperfalle Firewall (UFW)

Wenn Sie eine Firewall auf Ihrem Raspberry Pi 400 aktiviert haben (z.B. UFW), müssen die notwendigen Ports freigegeben sein. Ohne die richtigen Portfreigaben kann es zu Verbindungsabbrüchen oder fehlgeschlagenen Datenübertragungen kommen, die sich wie fehlende Schreibrechte anfühlen.

Typische FTP-Ports:

• Port 21 (Kontrollkanal)
• Port 20 (Datenkanal im aktiven Modus, seltener genutzt)
• Passive Ports (z.B. 40000-40000, wie in vsftpd.conf konfiguriert)

Beispiel für UFW-Regeln:

sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw allow 40000:40000/tcp comment 'FTP Passive Ports'
sudo ufw enable # nur wenn ufw noch nicht aktiviert ist
sudo ufw status

Stellen Sie sicher, dass Ihre Router-Firewall (falls vorhanden) diese Ports ebenfalls weiterleitet, wenn Sie von außen zugreifen möchten.

5. Volle Festplatte oder schreibgeschütztes Dateisystem?

Manchmal sind die einfachsten Erklärungen die richtigen:

• Speicherplatzmangel: Ist die SD-Karte oder der angeschlossene Speicher voll? Überprüfen Sie dies mit:

df -h

Wenn die Auslastung bei 100% liegt, können Sie nichts mehr schreiben.

• Schreibgeschützter Mount: Ist das Zielverzeichnis auf einem schreibgeschützt gemounteten Laufwerk? Überprüfen Sie die Mount-Optionen mit:

mount | grep /path/to/your/directory

Suchen Sie nach ro (read-only) in den Optionen. Wenn ja, müssen Sie das Laufwerk mit Lese-/Schreibrechten neu mounten.

6. SELinux oder AppArmor

Obwohl auf einem Standard-Raspberry Pi OS (Raspbian/Debian) eher unwahrscheinlich, könnten SELinux oder AppArmor (Sicherheitsmechanismen auf Kernel-Ebene) Ihre Schreibvorgänge blockieren, wenn sie aktiviert und restriktiv konfiguriert sind. Prüfen Sie, ob diese Dienste laufen (z.B. sestatus für SELinux). Wenn ja, müssen Sie entsprechende Richtlinien definieren oder sie testweise deaktivieren (Vorsicht: Sicherheitsrisiko!).

7. Cache-Probleme oder alter Stand?

Manchmal hilft es, nach allen Änderungen einfach den gesamten Raspberry Pi neu zu starten. Das löscht Caches und stellt sicher, dass alle Dienste und Konfigurationen frisch geladen werden.

sudo reboot

Ein systematischer Ansatz zur Fehlersuche

Wenn Sie alle oben genannten Punkte überprüft haben und immer noch keine Schreibrechte haben, gehen Sie systematisch vor:

1. Protokolle prüfen: Der wichtigste Schritt! Schauen Sie in die Protokolle des vsftpd-Dienstes. Hier finden Sie oft detaillierte Fehlermeldungen, die genau anzeigen, wo das Problem liegt.

sudo journalctl -u vsftpd -f # Zeigt Live-Logs an
sudo journalctl -u vsftpd # Zeigt alle Logs seit dem letzten Start

Achten Sie auf Meldungen wie „Permission denied”, „500 OOPS”, „550 Failed to open file” oder ähnliches.

2. Testen mit sudo -u: Versuchen Sie als der FTP-Benutzer, eine Datei lokal zu erstellen. Dies hilft, die Dateiberechtigungen vom FTP-Server-Problem zu trennen.

sudo -u ftpuser touch /var/www/html/testfile.txt
sudo -u ftpuser echo "Hello" > /var/www/html/testfile.txt

Wenn diese Befehle als ftpuser erfolgreich sind, dann liegen die Dateiberechtigungen wahrscheinlich richtig, und das Problem liegt eher in der vsftpd-Konfiguration.

3. Minimal-Konfiguration: Erstellen Sie eine minimale vsftpd.conf mit nur den absolut notwendigen Einstellungen (anonymous_enable=NO, local_enable=YES, write_enable=YES, chroot_local_user=YES wenn gewünscht, evtl. allow_writeable_chroot=YES) und testen Sie damit. Fügen Sie dann schrittweise weitere Optionen hinzu, um zu sehen, welche davon das Problem verursacht.
4. Anderes Zielverzeichnis: Versuchen Sie, in das Home-Verzeichnis des FTP-Benutzers zu schreiben (z.B. /home/ftpuser). Wenn das funktioniert, liegt das Problem spezifisch an den Berechtigungen des ursprünglich gewünschten Verzeichnisses oder daran, wie chroot es behandelt.

Fazit & Nächste Schritte

Fehlende FTP-Schreibrechte auf dem Raspberry Pi 400 sind ärgerlich, aber fast immer behebbar. In den allermeisten Fällen ist es eine Frage der korrekten Linux-Dateiberechtigungen oder einer fehlenden oder falsch gesetzten Anweisung in der vsftpd.conf. Gehen Sie die Schritte systematisch durch, überprüfen Sie die Protokolle und testen Sie die Berechtigungen direkt im Terminal. Mit Geduld und Sorgfalt werden Sie das Rätsel lösen und Ihr Raspberry Pi wird Ihnen endlich gehorchen und Ihre Dateien annehmen.

Denken Sie immer daran, Sicherheit und Funktionalität in Einklang zu bringen. Vermeiden Sie zu offene Berechtigungen (wie 777), wenn sie nicht absolut notwendig sind. Nutzen Sie Gruppen, um Benutzern kontrollierten Zugriff zu gewähren, und halten Sie sich an die Prinzipien des „Least Privilege”, also nur die Rechte zu vergeben, die unbedingt erforderlich sind. Viel Erfolg bei der Fehlersuche – Sie schaffen das!