Програма login займа╓ться перев╕ркою користувача, впевнюючись, що ╕м'я користувача та його пароль в╕дпов╕дають один одному. П╕сля цього вона встановлю╓ в╕дпов╕дне середовище для даного користувача, встановлюючи в╕дпов╕дн╕ дозволи на посл╕довну л╕н╕ю зв'язку та старту╓ командну оболонку для користувача.
П╕д час початково╖ установки login також виводить на екран невеличкий файл /etc/motd (коротенька фраза дня148) ╕ перев╕ря╓ електронну пошту. Ц╕ функц╕╖ можна заборонити створивши файл .hushlogin в домашн╕й директор╕╖ користувача.
Якщо ╕сну╓ файл /etc/nologin , то ре╓страц╕я в систем╕ заборонена. Звичайно такий файл створю╓ться командами типу shutdown . login перев╕ря╓ ╕снування такого файлу, ╕ якщо в╕н ╕сну╓, в╕н в╕дмовля╓ в ре╓страц╕╖ користувачев╕, але перш, н╕ж зак╕нчити роботу, виводить зм╕ст цього файлу на екран.
login запису╓ (через syslog ) вс╕ спроби ре╓страц╕╖ в систем╕, як╕ не вдалися, в╕н також запису╓ вс╕ ре╓страц╕╖ в систем╕ користувача root. Обидва типи запис╕в можуть використовуватися для в╕дсл╕дковування спроб вторгнень в систему.
Вс╕ користувач╕, на даний момент заре╓строван╕ в систем╕, записан╕ в файл╕ /var/run/utmp . Цей файл д╕йсний т╕льки до тих п╕р, поки система не перевантажу╓ться або вимика╓ться. В╕н перечислю╓ вс╕х користувач╕в разом з терм╕налами (або з'╓днаннями), на яких вони заре╓строван╕, разом з деякою додатковою ╕нформац╕╓ю. Команди who , w та ╕нш╕ звертаються до файлу utmp за ╕нформац╕╓ю.
Вс╕ усп╕шн╕ ре╓страц╕╖ в систем╕ записан╕ в /var/log/wtmp . Цей файл може рости безмежно, отже його варто чистити пер╕одично, встановивши, наприклад, щотижневий cron для цього.149. Переглядати файл wtmp можна за допомогою команди last .
Обидва файли - як utmp , так ╕ wtmp - записан╕ в дв╕йковому формат╕ (див. п╕дказку по utmp ), ╕, на жаль, ╖х дуже незручно анал╕зувати без використання спец╕альних команд.