Update:

gibt es eine einfache Möglichkeit, den share-Ordner per Passwort zu schützen oder ist etwas ähnliches bereits vorgesehen und aktivierbar?

ja, aber das Passwort ist generisch und kann nicht selbst festgelegt werden
(siehe https://forum.recalbox.com/topic/4691/change-root-password/6
(Topic ist 2 Jahre alt, möglicherweise gibt es mittlerweile eine Möglichkeit, root ein selbst gewähltes Passwort dauerhaft zu setzen)

was passiert, wenn ich in den erweiterten Einstellungen unter Sicherheit den Punkt "Sicherheit erzwingen" aktiviere? (Doku hilft mir nicht weiter, dort finde ich nur, dass es die Option gibt)

(u. A.(?)) das, was im ersten Element der Liste beschrieben ist

gibt es eine Möglichkeit, direkt auf der Recalbox ein Terminal oder eine Betriebssystem-Oberfläche zu starten, falls man versehentlich irgendwie den ssh-Zugang zerschossen hat?

nicht so wichtig -> notfalls auf der sd-card direkt die Änderungen Rückgängig machen

ist es richtig, dass in der smb.conf für das share nur user als "valid users" angegeben werden können, die im Recalbox-System existieren, oder könnte man dort auch externe User setzen?

Problem: useradd geht im recalboxOS nicht, demnach können imho keine User angelegt werden. Imho kann als valid user auch nur "root" angegeben werden, Dies ist für die obige Lösung (Elemente 1 und 2 der Liste) jedoch nicht notwendig.

Wenn ich in der smb.conf unter [share] eintrage:
"valid users = root"
gibt es dann, wenn man sich auf die Netzwerkfreigabe verbinden möchte, die Möglichkeit zur Nutzerauthentifizierung ähnlich wie bei einer ssh-Verbindung?

das passiert jedenfalls, wenn man in den erweiterten Einstellungen unter Sicherheit den Punkt "Sicherheit erzwingen" aktiviert

Wenn ich als valid users Werte setze, aber "root" weglasse, vermute ich, dass sich root weiterhin über ssh verbinden kann, ist das korrekt?

ja