El programa login se encarga de la autenticación del usuario (comprobando que el nombre de usuario y contraseña sean correctos), y establece un entorno inicial para el usuario activando permisos para la línea serie e iniciando el intérprete de comandos.

Como parte de la configuración inicial se incluye mostrar el contenido del archivo /etc/motd (un pequeño mensaje para cada día) y comprobar el correo electrónico. Esto puede desactivarse creando un archivo llamado .hushlogin en el directorio inicial del usuario.

Si el archivo /etc/nologin existe, los accesos son deshabilitados. Ese archivo se crea típicamente al hacer shutdown y similares. login comprueba la existencia de este archivo, y no aceptará ningún acceso si existe. En el caso de que exista, login muestra su contenido en el terminal antes de salir.

"login" almacena todos los accesos fallidos en un archivo de registro del sistema (a través de "syslog"). También almacena todos los accesos de root. Todos ellos pueden ser útiles para seguir la pista de intrusos.

La gente actualmente conectada aparece en el archivo /var/run/utmp. Este archivo es válido únicamente hasta que el sistema es reiniciado o apagado; se limpia cuando el sistema es iniciado. Muestra cada usuario y el terminal (o conexión de red) que está usando, además de alguna información útil. Los comandos "who", "w" y similares miran en utmp para ver quién está conectado.

Todos los accesos con éxito se registran en /var/log/wtmp. Este archivo crecerá sin límite, así que debe ser limpiado de manera regular, por ejemplo a través de un trabajo semanal "cron" que se encargue de limpiarlo. ^[30] El comando "last" muestra el contenido de wtmp.

Tanto utmp como wtmp se encuentran en formato binario (vea la página de manual de utmp); desafortunadamente no es conveniente examinarlos sin programas especiales.