Dá pra criar um usuário convidado bem restrito?

Bom dia

Sobre o flatpak, a principio sim. Você irá trabalhar direto com o e executável.

Sobre a pasta raiz do xampp, é só bloquear o usuário, mas por pradrão acho que ele já não terá permissão.

Sobre o fstab, é se você quer que a partição já inicie montada.

então o fstab seria a forma de inicialização da partição? onde que fica isso?

Vou ver aqui usando o gnme-disk

Aqui tem un tutorial

Tem que instalar o gnome-disks