login si occupa di autenticare l'utente (cioè di assicurarsi che il nome dell'utente e la password combacino), di configurare un ambiente iniziale impostando i permessi per la linea seriale e di inizializzare la shell.
Parte della configurazione iniziale consiste nel mandare in output il contenuto del file /etc/motd (per ``message of the day'', cioè ``messaggio del giorno'') e controllare la posta elettronica. Queste fasi possono essere disabilitate creando il file .hushlogin nella home directory dell'utente.
Se esiste il file /etc/nologin , i login sono disabilitati. Un file del genere viene di solito creato da shutdown e da comandi simili. login controlla la presenza di questo file, e se esiste non accetterà i login. Se esiste, login manderà in output il suo contenuto al terminale prima di uscire.
login tiene un log di tutti i tentativi di login falliti in un file di log di sistema (usando syslog ). Tiene anche un log di tutti i login di root; entrambi possono essere utili per rintracciare gli intrusi.
Gli utenti collegati al momento sono elencati in /var/run/utmp ; questo file è valido solo fino al prossimo reboot o shutdown del sistema, ed elenca ogni utente ed il terminale (o la connessione di rete) che sta usando, oltre ad altre informazioni utili. I comandi who , w e simili usano utmp per vedere chi è collegato.
Tutti i login che hanno avuto successo sono registrati in /var/log/wtmp . Questo file crescerà senza limite, quindi deve essere ripulito regolarmente, ad esempio usando un job di cron settimanale.8.1 Il comando last legge wtmp .
Sia utmp che wtmp sono in formato binario (consultate la pagina man di utmp ); non conviene esaminarli senza usare programmi speciali.