Kevin Kofler (./5935) :
Franchement, Lennart n'est pas le coupable ici. Monter efivarfs ro n'est pas une solution parce que des applications comme grub-install et même systemd lui-même ont besoin d'y écrire. Il faudrait que le noyau empêche l'écriture dans les variables qu'on n'a pas le droit de modifier parce que le matériel est bogué. Userspace est absolument le mauvais endroit pour cette protection.

Oui, le noyau devrait l'empêcher.
Mais cela n'empêche pas qu'un accès si direct à a des variables qui peuvent briquer une machine ne devrait pas être permis par défaut, même pour root ! Si on va dans cette logique, on peut se demander pourquoi avoir un compte utilisateur différent de root. Après tout certaines applications ont besoin d'être root.
grub-install & systemd peuvent très bien faire un remount rw avant de faire les modifications (puis un remount ro) avant de faire les opérations ayant besoin d'avoir un tel niveau d'accès.
(Et tout çà, oui, c'est parce que UEFI, c'est de la merde).