Есть приложение которое порождает дочерний процесс.

Как средствами питона или операционной системы (хотелось бы кросплатформенность) ограничить доступ дочернего процесса лишь к папке из которой он запущен - т.е. он может читать только из файла input.txt и писать только в файл output.txt - другие действия подпроцессу запрещены.

Как это сделать ?

это делается средствами ОС

chroot для линукс

guranvir
chroot для линукс

для chroot'a нужно чуть ли не половину файлов ос скопировать в будущую рут директорию.