/var/log/secure пишется демоном /sbin/syslogd . И пишет он туда не входы, а именно авторизации, в т.ч. sudo, sudo su, su и т.д.
Настройки syslogd можно посмотреть в /etc/syslog.conf, конкретно строчка "authpriv.*" означает "записывать в лог все сообщения, полученные от ядра, которые начинаются на authpriv."
Вывод команды last - это результат чтения бинарного лога /var/log/wtmp (man wtmp), в который записываются удачные входы (не рекомендую открывать лог cat'ом, tail'ом и т.п.). Логи (wtmp, utmp, btmp), в свою очередь, пишут /bin/login и его функция logout.
Т.е. отвечая на ваш вопрос:
1. Нельзя заставить /bin/login записать в лог авторизацию, т.к. он пишет входы;
2. Нельзя заставить /bin/login записать в лог вход, если входа не произошло;
3. Нельзя заставить last показывать то, что не записано в логи.