Где-то года полтора использую Obsidian уже и осознал, что не сильно-то я ему и доверяю.

Поспрашивал людей в mastodon, погуглил сам - как бы обрезать ему доступ в сеть и ограничить доступ к файловой системе?

Причём желательно максимально стандартным способом (в порядке приоритета - встроенные средства flatpak, selinux/apparmor, сторонние инструменты).

Flatseal скорее всего просто надстройка над override, которая наверное даже работает, но всё же сторонний инструмент, который тащить к себе не хочется.

Хмм! - сказали мужики и попробовали:

flatpak --user override --unshare=network --unshare=ipc com.obsidian.Obsidian

А при нажатии на кнопочку проверить обновления трафик в tpcdump всё равно появлялся.

Окей! - сказали мужики и попробовали:

sudo flatpak override --unshare=network --unshare=ipc com.obsidian.Obsidian

Файлик с override где-то в /var появился, но в сеть obsidian продолжил уметь ходить почему-то.

Ага! - сказали мужики и попробовали:

sudo vim /var/lib/flatpak/app/md.obsidian.Obsidian/current/active/metadata

и поправили секцию Context:

[Context]
# shared=network;ipc;
# sockets=x11;wayland;pulseaudio;ssh-auth;
# filesystems=home;/media;xdg-run/gnupg:ro;/mnt;/run/media;xdg-run/app/com.discordapp.Discord:create;
# persistent=~/.ssh;

sockets=x11;wayland;
devices=dri;
filesystems=/path/to/my/vault/;

и всё заработало как надо.

Зачем?

Спится спокойнее.